rework and update openpgp section
authorPascal K <ryru@addere.ch>
Sun, 11 Jun 2017 12:03:10 +0000 (14:03 +0200)
committerPascal K <ryru@addere.ch>
Sun, 11 Jun 2017 12:03:10 +0000 (14:03 +0200)
src/configuration/GPG/GnuPG/gpg.conf
src/practical_settings/GPG.tex

index f4ac54b..3b99167 100644 (file)
@@ -205,8 +205,7 @@ keyserver hkp://keys.gnupg.net
 # photo-viewer "metamail -q -d -b -c %T -s 'KeyID 0x%k' -f GnuPG"
 
 
-personal-digest-preferences SHA256
-cert-digest-algo SHA256
-default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
-
+personal-digest-preferences SHA512
+cert-digest-algo SHA512
+default-preference-list AES256, CAMELLIA256, AES192, CAMELLIA192, AES, CAMELLIA128, TWOFISH, SHA512, SHA384, SHA256, BZIP2, ZLIB, ZIP 
 
index 6e87518..4a19d05 100644 (file)
@@ -4,11 +4,13 @@
 
 The OpenPGP protocol
 \footnote{\url{https://tools.ietf.org/search/rfc4880}}
- uses asymmetric encryption to protect a session key which is used to encrypt a message. Additionally, it signs messages via asymmetric encryption and hash functions. %% what? - azet
-Research on SHA-1 conducted back in 2005\footnote{\url{https://www.schneier.com/blog/archives/2005/02/sha1\_broken.html}} has made clear that collision attacks are a real threat to the security of the SHA-1 hash function. PGP settings should be adapted to avoid using SHA-1.
+ defines a set of asymmetric- and symmetric encryption algorithms, signature methods and compression protocols. GnuPG\footnote{\url{https://gnupg.org/}}, a FOSS implementation of the OpenPGP standard, is widely used for mail encryption.
+GnuPG signs a message (SHA-2, RIPEMD or SHA-1), encrypts it symmetrically (AES, CAMELLIA, TWOFISH, BLOWFISH, 3DES, CAST5 or IDEA) and encrpts the symmetric key and the hash with Bob's public key asymmetrically (RSA, ELG, DSA, ECDH, ECDSA or EDDSA).
 
+Research on SHA-1 conducted back in 2005\footnote{\url{https://www.schneier.com/blog/archives/2005/02/sha1\_broken.html}} as well as the first practical successful collision in early 2017\footnote{\url{https://shattered.io/}} has made clear that collision attacks are a real threat to the security of the SHA-1 hash function. Since SHA-1 is defined as a must implementation by the OpenPGP specification, GnuPG is still using it. Currently settings should be adapted to preferably avoid using SHA-1. 
 
-When using PGP, there are a couple of things to take care of:
+When using GnuPG, there are a couple of things to take care of:
 \begin{itemize*}
   \item keylengths (see section \ref{section:keylengths})
   \item randomness (see section \ref{section:RNGs})
@@ -21,11 +23,11 @@ Properly dealing with key material, passphrases and the web-of-trust is outside
 This \href{https://www.debian-administration.org/users/dkg/weblog/48}{Debian How-to}\footnote{\url{https://www.debian-administration.org/users/dkg/weblog/48}} is a great resource on upgrading your old PGP key as well as on safe default settings. This section is built based on the Debian How-to.
 
 \subsubsection{Hashing}
-Avoid SHA-1 in GnuPG. Edit \$HOME/.gnupg/gpg.conf:
+Avoid SHA-1 by prefering better hashing methodes. GnuPG. Edit \$HOME/.gnupg/gpg.conf:
 
 \configfile{gpg.conf}{208-210}{Digest selection in GnuPG}
 
-Before you generate a new PGP key, make sure there is enough entropy available (see subsection \ref{subsec:RNG-linux}).
+Before you generate a new OpenPGP key, make sure there is enough entropy available (see subsection \ref{subsec:RNG-linux}).
 
 %\subsubsection{PGP / GPG Operations}