@@ -10,15 +10,11 @@ Die zentrale leicht modifizierten "VS-NfD Konfiguration" basiert 1:1 auf der Kon
Sie verwendet voreingestellt grössere 4096-Bit RSA-Schlüssel, anstatt 3072 Bit unter "GnuPG VS Desktop", sowie gehärtete Krypto-Kaskaden für Hash-Algorithmen und AES-Verschlüsselung. Zusätzlich wurden einige Korrekturen und Verbesserungen hinzugefügt, wie eine vorgenerierte "trustlist.txt" mit X.509 Wurzel-Zertifikaten aus dem Mozilla ROOT-Store und einigen deutschen "bund.de"-basierten Wurzel-Zertifikaten. Außerdem existiert ein Skript "BuildTrustList.bat" für eine automatische Aktualisierung aller vertrauenswürdigen Mozilla ROOT-Store Wurzel-Zertifikate, wenn es von einem zu erstellenden Windows System-Task ausgeführt wird.
<divid="ADSK01_DE"></div>
Im Gegensatz zu "GnuPG VS Desktop", ist in der Konfiguration das "ADSK-Feature" (auch ADK, ARR genannt) nicht aktiviert. Somit ist es nicht möglich einen zusätzlichen verborgenen
Entschlüsselungsschlüssel (Additional Decryption SubKey) durch HKLM-Registierungswerte in einer bestehenden Installation "still" zu aktivieren, um den Datenverkehr z. B. in einem Unternehmen durch eine höhere Instanz entschlüsseln zu können.<br><br>
<divid="ADSK01_DE">Im Gegensatz zu "GnuPG VS Desktop", ist in der Konfiguration das "ADSK-Feature" (auch ADK, ARR genannt) nicht aktiviert. Somit ist es nicht möglich einen zusätzlichen verborgenen Entschlüsselungsschlüssel (Additional Decryption SubKey) durch HKLM-Registierungswerte in einer bestehenden Installation "still" zu aktivieren, um den Datenverkehr z. B. in einem Unternehmen durch eine höhere Instanz entschlüsseln zu können.</div><br><br>
Eine Funktion zur Entschlüsselung muss nicht intransparent über ADSK erfolgen, sondern kann organisatorisch und transparent über einen Gruppen-Schlüssel oder eine Schlüssel-Hinterlegung umgesetzt werden.
<divid="ADSK02_DE"></div>
ADSK Details:
<divid="ADSK02_DE">ADSK Details:</div>
- https://gnupg.org/blog/20230321-adsk.html
- https://dev.gnupg.org/T6395
...
...
@@ -47,16 +43,11 @@ This package provides an additional central global VS-NfD compliant configuratio
The central, slightly modified "VS-NfD configuration" is based on that of "GnuPG VS Desktop". By default, it uses larger 4096-bit RSA keys, instead of 3072 bits under "GnuPG VS Desktop", as well as hardened crypto cascades for hash algorithms and AES encryption. In addition, some corrections and improvements have been added, such as a pre-generated "trustlist.txt" with X.509 root certificates from the Mozilla ROOT store and some German "bund.de"-based root-certificates. There is also a script "BuildTrustList.bat" for automatically updating all trusted Mozilla ROOT store root-certificates when it is executed by a Windows system-task that is to be created.
<divid="ADSK01_EN"></div>
In contrast to "GnuPG VS Desktop", the "ADSK feature" (also called ADK, ARR) is not activated in the configuration. It is therefore not possible to "silently" activate an additional hidden decryption key (Additional Decryption SubKey) using HKLM registry values in an existing installation in order to be able to decrypt data traffic, for example, in a company by a higher authority.
<divid="ADSK01_EN">In contrast to "GnuPG VS Desktop", the "ADSK feature" (also called ADK, ARR) is not activated in the configuration. It is therefore not possible to "silently" activate an additional hidden decryption key (Additional Decryption SubKey) using HKLM registry values in an existing installation in order to be able to decrypt data traffic, for example, in a company by a higher authority.</div><br><br>
Alternative:
A decryption function does not have to be implemented in an opaque manner via ADSK, but can be implemented organizationally and transparently via a group-key or a key deposit.
