GnuPG VS-NfD

-- Deutsch --

Bitte wählen Sie den entsprechenden Branch aus ...

Dieses Paket stellt eine zusätzliche zentrale globale VS-NfD konforme Konfiguration für das GnuPG-Backend von "Gpg4Win" zur Verfügung, ohne zusätzliche Änderungen und Modifikationen am System durchzuführen. Es basiert auf dem original Installer-Paket von GnuPG. Alle installierten Dateien sind inklusive digitaler Signatur zu 100% identisch mit den jeweiligen Dateien aus dem Original-Release von GnuPG.

Die zentrale "VS-NfD Konfiguration" basiert auf der Konfiguration von "GnuPG VS Desktop", mit folgenden Änderungen:

• Gehärtete VS-NfD-konforme Konfiguration (kein ADSK-Schlüssel über Registry aktivierbar).
• 4096-Bit RSA-Schlüssel vorkonfiguriert.
• Zusätzliche Krypto-Profile für folgende Algortihmen vorkonfiguriert: "RSA-4096.prf", "Curve25519.prf", "Curve448.prf", "Curve-secp256k1.prf", "Brainpool512.prf", "Brainpool384.prf", "Brainpool256.prf".
• Vorinstallierte "trustlist" mit ROOT-CAs des Mozilla Cert-Store, Dataport-CAs und X.500-Bund-CAs.
• Update-Mechanismus für ROOT-CAs des Mozilla Cert-Store durch ein Skript "BuildTrustList.bat" (aktuell nicht aktiviert).
• Erweiterte Dokumentation für "Yubikey 5"-Token.

ADSK

Im Gegensatz zu "GnuPG VS Desktop", ist in der Konfiguration das "ADSK-Feature" (auch ADK, ARR genannt) nicht aktiviert. Somit ist es nicht möglich einen zusätzlichen verborgenen Entschlüsselungsschlüssel (Additional Decryption SubKey) durch HKLM-Registierungswerte in einer bestehenden Installation "still" zu aktivieren, um den Datenverkehr durch eine dritte Instanz entschlüsseln zu können.

Eine Funktion zur Entschlüsselung muss nicht intransparent über ADSK erfolgen, sondern kann organisatorisch und transparent über einen Gruppen-Schlüssel oder eine Schlüssel-Hinterlegung umgesetzt werden.

ADSK Details:

• https://gnupg.org/blog/20230321-adsk.html
• https://dev.gnupg.org/T6395
• https://lists.gnupg.org/pipermail/gnupg-users/2008-February/032679.html

Lezte Änderungen zu ADSK-Feature:

• 2024-10-31 Werner Koch wk@gnupg.org
  gpg: Allow the use of an ADSK subkey as ADSK subkey.
• 2024-09-26 Werner Koch wk@gnupg.org
  gpg: Add magic parameter "default" to --quick-add-adsk
• 2024-09-26 Werner Koch wk@gnupg.org
  gpg: New command --quick-add-adsk gpg: New option --default-new-key-adsk and "addadsk" for edit-key.

Bitte beachten Sie auch die Info-Datei zu den eingesetzten Werkzeugen unter:

"%ProgramData%\GNU\etc\gnupg\VBTools-Info.txt"

-- English --

Please select the appropriate branch ...

This package provides an additional central global VS-NfD compliant configuration for the GnuPG backend of "Gpg4Win" without making any additional changes or modifications to the system. This package is based on the original GnuPG installer package. All installed files, including the digital signature, are 100% identical to the respective files from the original release of GnuPG.

The central "VS-NfD configuration" is based on that of "GnuPG VS Desktop", with the following changes:

• Hardened VS-NfD-compliant configuration (no ADSK-key can be activated via registry).
• 4096-bit RSA-key preconfigured.
• Kleopatra auto-update globally deactivated.
• Additional crypto profiles preconfigured for the following algorithms: "RSA-4096.prf", "Curve25519.prf", "Curve448.prf", "Curve-secp256k1.prf", "Brainpool512.prf", "Brainpool384.prf", "Brainpool256.prf".
• Pre-installed "trustlist" with ROOT-CAs of the Mozilla Cert-Store, Dataport-CAs and X.500-Bund-CAs.
• Update mechanism for ROOT-CAs of the Mozilla Cert-Store by a script "BuildTrustList.bat" (currently not activated).
• Standard directory structure identical to "Gpg4Win".
• Extended documentation for "Yubikey 5"-tokens.
• Currently no release for VS-NfD, because the binaries of the graphical frontend (Kleopatra, GpgOL, GpgEX, etc.) do not have an official "digital signature" (self-build).

ADSK

In contrast to "GnuPG VS Desktop", the "ADSK feature" (also called ADK, ARR) is not activated in the configuration. It is therefore not possible to "silently" activate an additional hidden decryption key (Additional Decryption SubKey) using HKLM registry values ​​in an existing installation in order to enable a third party to decrypt the data traffic.

A decryption function does not have to be implemented in an opaque manner via ADSK, but can be implemented organizationally and transparently via a group-key or a key deposit.

ADSK Details:

• https://gnupg.org/blog/20230321-adsk.html
• https://dev.gnupg.org/T6395
• https://lists.gnupg.org/pipermail/gnupg-users/2008-February/032679.html

Last changes in relation to the ADSK-feature:

• 2024-10-31 Werner Koch wk@gnupg.org
  gpg: Allow the use of an ADSK subkey as ADSK subkey.
• 2024-09-26 Werner Koch wk@gnupg.org
  gpg: Add magic parameter "default" to --quick-add-adsk
• 2024-09-26 Werner Koch wk@gnupg.org
  gpg: New command --quick-add-adsk gpg: New option --default-new-key-adsk and "addadsk" for edit-key.

Please also note the info file on the tools used at:

"%ProgramData%\GNU\etc\gnupg\VBTools-Info.txt"

--- Changelog ---

20250210

Update gnupg-w32-2.2.46_20250107.exe package

- Update OpenSSL to v3.4.0.1 x64
  * Version 3.4.0.1 fixes CVE-2024-13176 (timing side-channel in ECDSA signature computation).
- Update "BuildTrustList.bat"
  * "BuildTrustList.bat" supports now a proxy-option in commandline (-p http[s]://xxx.xxx.xxx.xxx:port)
- Update Mozilla ROOT Cert-Store.