Что: d7d5650cac3bbb74434b202924e72fec10b82db3
Когда: 2023-02-14 12:06:16+03:00
Темы: crypto
Разлад в GnuPG и OpenPGP workgroup
Вернер Кох не сдерживается в рассылке, и пишет что ему уже кажется что
рабочая группа как-будто хочет навредить OpenPGP как таковому.
Using new OIDs will eventually make keys and signatures created since 8
years invalid. Further deployed software won't be able to handle any
newly created signature or key. This is crazy, folks.
Sometimes I can't but fear the goal of the WG is to harm the repudiation
of OpenPGP.
Они долго обсуждают уже тот факт, что OID-ы для *25519 алгоритмов не
соответствуют всяким позже появившимся RFC, мол поэтому давайте их
поменяем. Очевидно, поломав совместимость. Действительно, безумие.
И у Коха прям решительный отказ возможности использовать GCM в OpenPGP.
Он сделал EAX deprecated (ff984ae8de23837f0c650097b779807e10f2ebaf), так
как патенты на OCB иссякли и поэтому только OCB остаётся. Я на его
стороне: ибо зачем GCM, если есть OCB, который ну абсолютно всем лучше?
В рассылке уже даже поднимают вопрос о будущем OpenPGP, ведь то, что
делает GnuPG команда, на что она ориентируется (черновики RFC, которым
уйму лет), расходится с тем, что творит WG. Как бы не появилось две
ветки развития этого стандарта. Что, похоже, запросто будет, ибо WG
творит дичь, полностью игнорируя то, что на практике уже много лет
применяется.
Тут на ум уже приходит и ssh-keygen возможности подписывания
произвольных данных (e6184094fc1f16c6d0648dfb62b02e95c15b4136) и age
утилита шифрования, как нечто до тривиальности простое, если появится
череда несовместимых между собой PGP-related инструментов.
Сгенерирован: SGBlog 0.34.0