From e8cf3a032519400ceb12ad349080d54fad600284 Mon Sep 17 00:00:00 2001
From: Veit Berwig <veit.berwig@stk.landsh.de>
Date: Tue, 28 Jan 2025 07:11:35 +0000
Subject: [PATCH] Added information to ADSK-feature
---
README.md | 66 ++++++++++++++++++++++++++++++++++++++++++++++++++-----
1 file changed, 61 insertions(+), 5 deletions(-)
diff --git a/README.md b/README.md
index db19c71..e5b8066 100644
--- a/README.md
+++ b/README.md
@@ -11,10 +11,39 @@
jeweiligen Dateien aus dem Original-Release von GnuPG !
Die zentrale leicht modifizierten "VS-NfD Konfiguration"
- basiert 1:1 auf der von "GnuPG VS Desktop". Sie verwendet per
- Default grössere 4096-Bit RSA-Schlüssel, anstatt 3072 Bit unter
- "GnuPG VS Desktop", sowie gehärtete Krypto-Kaskaden für
- Hash-Algorithmen und AES-Verschlüsselung.
+ basiert 1:1 auf der Konfiguration von "GnuPG VS Desktop", mit
+ folgenden Änderungen:
+
+ Sie verwendet per Default grössere 4096-Bit RSA-Schlüssel,
+ anstatt 3072 Bit unter "GnuPG VS Desktop", sowie gehärtete
+ Krypto-Kaskaden für Hash-Algorithmen und AES-Verschlüsselung.
+ Im Gegensatz zu "GnuPG VS Desktop", ist in der Konfiguration
+ das "ADSK-Feature" (auch ADK, ARR genannt) nicht aktiviert !
+ Somit ist es nicht möglich einen zusätzlichen verborgenen
+ Entschlüsselungsschlüssel (Additional Decryption SubKey) durch
+ HKLM-Registierungswerte in einer bestehenden Installation
+ "still" zu aktivieren, um den Datenverkehr z. B. in einem
+ Unternehmen durch eine höhere Instanz entschlüsseln zu können.
+
+ Alternative:
+ Eine Funktion zur Entschlüsselung muss nicht intransparent über
+ ADSK-erfolgen, sondern kann organisatorisch und transparent
+ über einen Gruppen-Schlüssel oder eine Schlüssel-Hinterlegung
+ umgesetzt werden.
+
+ Details: https://gnupg.org/blog/20230321-adsk.html
+ https://dev.gnupg.org/T6395
+ https://lists.gnupg.org/pipermail/gnupg-users/2008-February/032679.html
+
+ Lezte Änderungen zu ADSK-Feature:
+ - 2024-10-31 Werner Koch <wk@gnupg.org>
+ gpg: Allow the use of an ADSK subkey as ADSK subkey.
+ - 2024-09-26 Werner Koch <wk@gnupg.org>
+ gpg: Add magic parameter "default" to --quick-add-adsk
+ - 2024-09-26 Werner Koch <wk@gnupg.org>
+ gpg: New command --quick-add-adsk
+ gpg: New option --default-new-key-adsk and
+ "addadsk" for edit-key.
Zusätzlich wurden einige Korrekturen und Verbesserungen
hinzugefügt, wie eine vorgenerierte "trustlist.txt" mit
@@ -41,10 +70,37 @@
GnuPG !
The central, slightly modified "VS-NfD configuration" is based
- 1:1 on that of "GnuPG VS Desktop". By default, it uses larger
+ on that of "GnuPG VS Desktop". By default, it uses larger
4096-bit RSA keys, instead of 3072 bits under
"GnuPG VS Desktop", as well as hardened crypto cascades for
hash algorithms and AES encryption.
+
+ In contrast to "GnuPG VS Desktop", the "ADSK feature"
+ (also called ADK, ARR) is not activated in the configuration !
+ It is therefore not possible to "silently" activate an
+ additional hidden decryption key (Additional Decryption SubKey)
+ using HKLM registry values in an existing installation in order
+ to be able to decrypt data traffic, for example, in a company
+ by a higher authority.
+
+ Alternative:
+ A decryption function does not have to be implemented in an
+ opaque manner via ADSK, but can be implemented organizationally
+ and transparently via a group-key or a key deposit.
+
+ Details: https://gnupg.org/blog/20230321-adsk.html
+ https://dev.gnupg.org/T6395
+ https://lists.gnupg.org/pipermail/gnupg-users/2008-February/032679.html
+
+ Last changes in relation to the ADSK-feature:
+ - 2024-10-31 Werner Koch <wk@gnupg.org>
+ gpg: Allow the use of an ADSK subkey as ADSK subkey.
+ - 2024-09-26 Werner Koch <wk@gnupg.org>
+ gpg: Add magic parameter "default" to --quick-add-adsk
+ - 2024-09-26 Werner Koch <wk@gnupg.org>
+ gpg: New command --quick-add-adsk
+ gpg: New option --default-new-key-adsk and
+ "addadsk" for edit-key.
In addition, some corrections and improvements have been added,
such as a pre-generated "trustlist.txt" with X.509 root
--
GitLab