PGP と GnuPG

現地時間の29日付で GnuPG の 2.x 系列安定版となる 2.0.1 が、同じく30日付で 1.x 系列安定版となる 1.4.6 RC 1 が、それぞれリリースされています。

今回のリリースのメインは、やはり、先日公表されたバッファオーバーフローの脆弱性が修正されたことでしょう。

 * Fixed a buffer overflow in gpg2. [bug#728]

[引用元 : GnuPG.org : Mailing List - gnupg-announce [Important announcements] - Subject: [Announce] GnuPG 2.0.1 released, From: Werner Koch, Date: Wed Nov 29 14:55:45 CET 2006]

    * Fixed a buffer overflow in gpg. [bug#728]

[引用元 : GnuPG.org : Mailing List - gnupg-users [Help and discussion among users of GnuPG] - Subject: [Announce] First release candidate for 1.4.6 available, From: David Shaw, Date: Thu Nov 30 04:21:43 CET 2006]

なお、いずれもソースコードパッケージのみのリリースとなっています。 (Windows 版バイナリパッケージはリリースされていません。)

情報源/参考情報

• GnuPG.org - The GNU Privacy Guard
  • Mailing List - gnupg-announce [Important announcements]
    • [Announce] GnuPG 2.0.1 released
  • Mailing List - gnupg-users [Help and discussion among users of GnuPG]
    • [Announce] First release candidate for 1.4.6 available

投稿者 : FUDAN , 日時 : 2006年11月30日 20:31 , パーマリンク , コメント (0) , トラックバック (0)

GnuPG の 1.4.x 系列(GnuPG-1)と 2.0.x 系列(GnuPG-2)にバッファオーバーフローの脆弱性が発見され、現地時間の27日付でパッチがリリースされています。

今回の脆弱性は、特殊な細工を施したメッセージにより gpg や gpg2 をクラッシュさせることができるというもので、 GnuPG を対話的に実行する場合に影響を受ける(バッチモードで動作している場合には、今回の脆弱性の影響を受けない)ようです。

When running GnuPG interactively, special crafted messages may be used
to crash gpg or gpg2.  Running gpg in batch mode, as done by all
software using gpg as a backend (e.g. mailers), is not affected by
this bug.
 
Exploiting this overflow seems to be possible.
 
gpg-agent, gpgsm, gpgv or other tools from the GnuPG suite are not
affected.

[引用元 : GnuPG.org : Mailing List - gnupg-announce [Important announcements] - Subject: [Announce] GnuPG 1.4 and 2.0 buffer overflow, From: Werner Koch, Date: Mon Nov 27 18:13:02 CET 2006]

なお、現在はソースコードに対するパッチのみの公開となっていますが、今週中には修正版がリリースされることになっているようです。

> Will this lead to a 1.4.6 / 2.0.1 release anytime soon or is the bug
> not serious enough for that?
 
Yes. This week.

[引用元 : GnuPG.org : Mailing List - gnupg-users [Help and discussion among users of GnuPG] - Subject: Re: [Announce] GnuPG 1.4 and 2.0 buffer overflow, From: Werner Koch, Date: Mon Nov 27 23:04:05 CET 2006]

情報源/参考情報

• GnuPG.org - The GNU Privacy Guard
  • Mailing List - gnupg-announce [Important announcements]
    • [Announce] GnuPG 1.4 and 2.0 buffer overflow
  • Mailing List - gnupg-users [Help and discussion among users of GnuPG]
    • Re: [Announce] GnuPG 1.4 and 2.0 buffer overflow

投稿者 : FUDAN , 日時 : 2006年11月29日 21:12 , パーマリンク , コメント (0) , トラックバック (0)

現地時間の23日付で、 GnuPG 2.x 系列安定版のリリース候補 2.0.1 RC 1 がリリースされています。

今回リリースされたのは、ソースコードパッケージのみです。 (Windows 版バイナリはリリースされていません。)

なお、今回のリリースでは、 AMD64 環境で発生する問題の修正がメインとなっているようです。

It fixes the problems on AMD64 as well as on 64 bit platforms. There are also some other build fixes.

[引用元 : GnuPG.org : Mailing List - gnupg-users [Help and discussion among users of GnuPG] - GnuPG 2.0.1rc1 released]

情報源/参考情報

• GnuPG.org - The GNU Privacy Guard
  • Mailing List - gnupg-users [Help and discussion among users of GnuPG]
    • GnuPG 2.0.1rc1 released

投稿者 : FUDAN , 日時 : 2006年11月24日 19:05 , パーマリンク , コメント (0) , トラックバック (0)

現地時間の13日付で、 GnuPG の 2.0 がリリースされています。

今回リリースされたのは、ソースコードパッケージのみです。 (Windows 版バイナリはリリースされていません。)

今回リリースされた GnuPG 2.0 (いわゆる GnuPG-2) は、これまで開発版系列 (1.9.x) として開発が進められていたものですが、今回、安定版として正式リリースされるのに伴い、バージョンナンバーが 2.x 系列に上がりました。 旧安定版系列 (1.4.x ; いわゆる GnuPG-1) との大きな違いは S/MIME への対応の有無となります。

なお、 GnuPG-1 については、リリースアナウンスに

We will keep maintaining GnuPG-1 versions because they are very useful for small systems and for server based applications requiring only OpenPGP support.

とあるように、今後もメンテナンスが続けられることになっていますので、引き続き GnuPG-1 を使い続けるという選択肢も残されています。 また、

GnuPG-2 has a different architecture than GnuPG-1 (e.g. 1.4.5) in that it splits up functionality into several modules. However, both versions may be installed alongside without any conflict.

とあるように、 GnuPG-2 と GnuPG-1 の併存は可能とのことですから、両方インストールしておくという選択肢もあります。

情報源/参考情報

• GnuPG.org - The GNU Privacy Guard
  • Mailing List - gnupg-announce [Important announcements]
    • [Announce] GnuPG 2.0 released
• PGP 最新情報
  • GnuPG 2.0 リリース
• セキュリティホール memo
  • 20061114__GnuPG
• スラッシュドット ジャパン
  • GnuPG 2.0.0 リリース
  • iida (8060)
    • iida の日記
      • GnuPG 2.0.0 リリース

投稿者 : FUDAN , 日時 : 2006年11月14日 17:47 , パーマリンク , コメント (0) , トラックバック (0)

13日付で日本 PGP 株式会社から、企業向け PGP 製品の日本語版がリリースされたようです。

今回発表されたのは、

• PGP Whole Disk Encryption : ディスク全体を暗号化
• PGP Universal Server : 複数の暗号化アプリケーションの管理や導入を一元化
• PGP Universal Gateway Email : 電子メールを暗号化するゲートウェイ
• PGP Desktop
  • PGP Desktop Email : 電子メールを自動的に暗号化
  • PGP Desktop Enterprise : 統合パッケージ (PGP Desktop Email + PGP Whole Disk Encryption + PGP NetShare)
  • PGP Desktop Storage : 統合パッケージ (PGP Whole Disk Encryption + PGP NetShare)
  • PGP Desktop Professional : 統合パッケージ (PGP Desktop Email + PGP Whole Disk Encryption)
• PGP NetShare : ネットワーク上の共有ファイルを暗号化

なお、日本国内の販売代理店は、

• 株式会社日本システムディベロップメント
• マクニカネットワークス株式会社

などとなっています。

情報源/参考情報

• 日本 PGP 株式会社
  • ニュース・イベント
    • [2006年11月13日] PGP コーポレーション、日本語にローカライズされた企業向け暗号化ソリューションを発売
  • 製品情報
    • PGP Whole Disk Encryption
    • PGP Universal Server
    • PGP Universal Gateway Email
    • PGP Desktop
      • PGP Desktop Email
      • PGP Desktop Enterprise
      • PGP Desktop Storage
      • PGP Desktop Professional
    • PGP NetShare
• INTERNET Watch
  • PGP 、共有ファイルの暗号化製品など企業向け製品の日本語版を発表

投稿者 : FUDAN , 日時 : 2006年11月13日 21:17 , パーマリンク , コメント (0) , トラックバック (0)