From: Sergey Matveev <stargrave@stargrave.org>
Date: Sat, 13 Sep 2025 10:19:24 +0000 (+0300)
Subject: Сравнение OpenPGP и LibrePGP
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=b9750acc80fd0c20b6265d61fca6e53ab3e959dd;p=stargrave-blog.git

Сравнение OpenPGP и LibrePGP

https://github.com/crypto-security-tools/OpenPGP-LibrePGP-comparison/releases/download/v1.4/opgp-lpgp-comp.pdf
https://wiki.archlinux.org/title/GnuPG
https://eprint.iacr.org/2024/1110.pdf
Красивая PDF-ка с деталями о разнице между этими двумя стандартами. Не
знал что в OpenPGP добавили SLH-DSA (тогда как в LibrePGP вообще нет PQC
подписей).

В ArchWiki LibrePGP назвали проприетарным GnuPG форматом.
Ну... на самом деле как бы так и есть.

А ещё пишут о том, что OCB пакеты LibrePGP подвержены downgrade атаке,
когда можно поменять типа пакета и интерпретировать его во время
дешифрования как CFB зашифрованный. Но при штатной работе всё равно MAC
не сойдётся и gpg вернёт ошибку дешифрования, хоть в stdout и выпустит
дешифрованные данные.

В OpenPGP используется новый SEIPD тип формата зашифрованных пакетов, в
котором domain separation ключей делается HKDF-ом.

Как же всё грустно в PGP мире стало после этого разделения на LibrePGP и
OpenPGP. Последний мне (как и Коху) не нравится включением GCM режима
как допустимого. Нет, его не должно быть вообще, особенно на фоне уже
использования OCB. Но нравится более грамотным SEIPDv2 с HKDF-ом. Не
нравится отсутствием аутентификации над literal data packets. Но
нравится наличием SLH-DSA, который я бы везде и использовал. LibrePGP
нравится OCB, но почему его так криптографически безграмотно и наивно
впилили, хоть на практике это и не ударит по рукам?

Мои подходе в криптографических протоколах меня радуют. Я всюду и везде
стараюсь делать domain separation ключей, везде KDF-ы всякие. Всё что
можно аутентифицирую.
---