我们很高兴地宣布发布我们的低levelopenpgp库1.3版。对于那些在家里之后的人,你就会询问发生在1.2的事情。过去的星期天是PGP的30世纪。为了庆祝三十年的PGP,我们决定Skip1.2并直接发布1. 3。
30年是一个程序很长一段时间。事实上,今天,原来的PGP实施是几乎没有识别的那样多次改变手。但是,OpenPGP,PGP使用的PGP和由IETF首先在RFC1991中标准化的协议,并由RFC 2440和RFC 4880更新,因此仍然具有最灵活的认证机制和PKI之一。从历史上看,Appliodusers只能访问,但通过我们在像Keys.openpgp.org和OpenPGP CA等工具上的工作,我们开始利用其力量为普通用户带来强大的易用身份验证。出于这个原因,PGP的创造者菲尔···菲尔曼·菲尔曼,曾表示,“LemoIAPGP是今天可用的最先进的OpenPGP实施。”我们很自豪地拥有自由的冠军,并将在这个空间中创新以更好的保护来创新互联网用户的隐私和安全。
在1.x发布周期期间,我们正在添加功能,修复错误,AndimProving文档,同时保持API稳定。下游用户应该能够更新到版本1.3而不更改其代码。在2020年12月,我们已充分提交安全修复,伪造了1年的1.x释放。我们仍然承诺承诺。
我们不知道这个版本的SemoGia中的任何安全问题。如果您使用SequoIa与荨麻,Sequoia的Defaultcryptography后端,请注意荨麻Priorto 3.7.3版本有一个错误,攻击者可以利用崩溃荨麻和使用SemoIa的程序。有关详细信息,请参阅CVE-2021-3580和荨麻的发布公告。
#715:Windows CNG后端在使用它们之前没有夹住曲线25519秘密材料。这导致使用键的解密故障。根据标准,曲线25519 keysmust被钳位,但是,一些OpenPGP实现没有Dothis。 WindowsCNG后端而不是强制用户创建新密钥,而是简单地夹紧键。这也将CNG后端与荨麻后端保持一致。
#706:cert ::插入_packets在二次时间中运行。我们重写重复数据删除代码以在O(n * log n)的时间内运行。
#699:当CertParser遇到无效数据时,它会在返回已有的ParsedCertificate之前返回错误。这已修复为首先返回PendingCertificate,然后返回错误。
Sequoia现在支持第三方确认签名的一方证明。 这使证书持有者通过证书证明第三方认证,并允许通过滥用抵制keyserver(例如https://keys.opeNpgp.org)分发的认证.Ppreserves通过分布与她的信息的持有人主权 证书。 Sequoia现在允许重复使用会话密钥。 这解决了常备的问题:如果您没有每个收件人的证书,您如何回复电子邮件? 以前,用户Hadno机会,但要以明文回复,潜在的透露信息。 通过会话重新使用,使用OricalMessage的会话密钥,该密钥已经已经在对话中的每个收件人加密。 SemoIa的证书构建器现在更灵活:它允许定制签名。 例如,您可以将其添加到它,限制使用子项对某些方面的使用。