https://github.com/crypto-security-tools/OpenPGP-LibrePGP-comparison/releases/download/v1.4/opgp-lpgp-comp.pdf
https://wiki.archlinux.org/title/GnuPG
https://eprint.iacr.org/2024/1110.pdf
Красивая PDF-ка с деталями о разнице между этими двумя стандартами. Не
знал что в OpenPGP добавили SLH-DSA (тогда как в LibrePGP вообще нет PQC
подписей).
В ArchWiki LibrePGP назвали проприетарным GnuPG форматом.
Ну... на самом деле как бы так и есть.
А ещё пишут о том, что OCB пакеты LibrePGP подвержены downgrade атаке,
когда можно поменять типа пакета и интерпретировать его во время
дешифрования как CFB зашифрованный. Но при штатной работе всё равно MAC
не сойдётся и gpg вернёт ошибку дешифрования, хоть в stdout и выпустит
дешифрованные данные.
В OpenPGP используется новый SEIPD тип формата зашифрованных пакетов, в
котором domain separation ключей делается HKDF-ом.
Как же всё грустно в PGP мире стало после этого разделения на LibrePGP и
OpenPGP. Последний мне (как и Коху) не нравится включением GCM режима
как допустимого. Нет, его не должно быть вообще, особенно на фоне уже
использования OCB. Но нравится более грамотным SEIPDv2 с HKDF-ом. Не
нравится отсутствием аутентификации над literal data packets. Но
нравится наличием SLH-DSA, который я бы везде и использовал. LibrePGP
нравится OCB, но почему его так криптографически безграмотно и наивно
впилили, хоть на практике это и не ударит по рукам?
Мои подходе в криптографических протоколах меня радуют. Я всюду и везде
стараюсь делать domain separation ключей, везде KDF-ы всякие. Всё что
можно аутентифицирую.