Agenda

• Intro: "Ecosistema" OpenPGP
• Timeline storica e recente
• Le novità di RFC 9580
  (a.k.a. OpenPGP v6 a.k.a. crypto-refresh)
• OpenPGP vs LibrePGP
• Sviluppi futuri
  • Bonus: Futuro dei Keyserver

Terminologia

• PGP™: software (inizialmente libero, oggi proprietario) sviluppato da Phil Zimmermann all'inizio degli anni '90, primo tentativo di portare la crittografia forte alle masse.
• GnuPG: software libero sviluppato da Werner Koch dal 1999 per sostituire PGP divenuto proprietario.
  Ad oggi l'implementazione di OpenPGP più nota (ma se ne stanno diffondendo altre).
• OpenPGP: standard aperto per l'interoperabilità dei messaggi protetti con crittografia asimmetrica, basato su PGP e definito dall'IETF dal 1996 (RFC 1991). Attualmente è definito da RFC 9580 (luglio 2024).
• LibrePGP: proposta di standard aperto "fork" di OpenPGP nato a seguito di uno "scisma" nella comunità nell'autunno del 2023.

"Ecosistema" OpenPGP (1)

Lo standard OpenPGP propriamente detto (RFC 9580) definisce principalmente:

• Algoritmi supportati
  • Crittografia simmetrica e asimmetrica
  • Hashing e Firma digitale
  • String-to-Key
  • e le relative modalità operative
• Formati di interscambio ("pacchetti")
  • Chiavi pubbliche e private
  • Messaggi cifrati e/o firmati
• Grammatica dei messaggi (Packet Sequence Composition)
• Raccomandazioni implementative

"Ecosistema" OpenPGP (2)

Altre specifiche, ufficiali o de facto, la consuetudine e le scelte implementative definiscono:

• PKI: distribuzione, ricerca e reperimento delle chiavi pubbliche (keyserver)
• Verifica delle chiavi (Web of Trust)
• Sicurezza delle chiavi private (hard disk, smart card, token, ...)
• Semantica dei messaggi
• API, CLI, GUI

La comunità usa abitualmente l'espressione Ecosistema OpenPGP per definire l'insieme degli standard, delle implementazioni (librerie, frontend, tools) e dei progetti correlati

Timeline storica

Timeline recente

RFC 9580: le principali novità

• Formato "versione 6" per chiavi, firme e messaggi
  • Fingerprint 32 byte (64 cifre hex)
• Nuovi algoritmi e nuove modalità operative
  • Firma e Cifratura asimmetrica: Ed25519 e X25519 (MUST); Ed448 e X448 (SHOULD)
  • Cifratura simmetrica AEAD: OCB (MUST); EAX e GCM (MAY)
  • Memory-hard S2K: Argon2 (RECOMMENDED)
  • Hashing: SHA3 (MAY)
  • Key derivation/separation: HKDF
  • Firme non deterministiche
• Deprecazione algoritmi e formati deboli o obsoleti
  • RSA < 3072, DSA, ElGamal, MD5, SHA1, RIPEMD, IDEA, 3DES e altri; pacchetti ver. 2 e 3
• Molto altro ⇒ RFC 9580 Appendix B

OpenPGP vs LibrePGP 1/3

• A Critique on the OpenPGP Updates (LibrePGP)
  https://librepgp.org/#critique
• A Critique on “A Critique on the OpenPGP Updates” (A. Gallagher)
  https://blog.pgpkeys.eu/critique-critique.html

0. Questioni di metodo (consenso nel WG)
1. Symmetric Mode
   GCM molto complesso da implementare in modo sicuro
2. Padding Packet
   Introdurrebbe rischi di covert channel a fronte di benefici non dimostrabili
3. Changes to the ECDH Encryption
4. Proliferation for Algorithms

OpenPGP vs LibrePGP: 2/3

• A Critique on the OpenPGP Updates (LibrePGP)
  https://librepgp.org/#critique
• A Critique on “A Critique on the OpenPGP Updates” (A. Gallagher)
  https://blog.pgpkeys.eu/critique-critique.html

5. Removal of Useful Real-world Features
   Es. designated revoker
6. Removal of Security Fixes
   Firma metadati dei file (nome, timestamp ultima modifica)
7. Salted Signature Issue
   Introdurrebbe rischi di covert channel a fronte di benefici non dimostrabili
8. Regression from Deployed Formats and Standard Behavior
   Es. cifratura storage a lungo termine

OpenPGP vs LibrePGP 3/3

^* Versione Draft settembre 2024
⁺ A. Gallagher A Summary of Known Security Issues in LibrePGP

Implementazioni (in progress)

Implementazioni OpenPGP (in progress)

Fonte: OpenPGP interoperability test suite (agg. 2024-09-17)

OpenPGP Interoperability test suite

Detached Sign-Verify roundtrip with minimal key from Appendix A.3 of RFC 9580.

Fonte: OpenPGP interoperability test suite

I prossimi sviluppi

Priorità: Post-Quantum Cryptography (draft-ietf-openpgp-pqc) e Migration path v4 ⇒ v6 ⇒ v6+PQC, a seguire:

E ancora: Forward secrecy, Context binding, Web of Trust, Key Verification, ... (vedi charter)

Migrazione

• Diffusione implementazioni 9580-compliant e successivamente PQC
  Sarà un processo lungo: richiede un sacco di lavoro lato librerie, backend, frontend, infrastruttura
• Alcune nuove funzioni possono essere usate con le "vecchie" chiavi v4 (Argon2, AEAD), altre no (firma)
• Sfida: creare e distribuire nuove chiavi v6 senza "rompere" la Web of Trust e garantendo conversazioni di gruppo
  • Proposta "Replacement Key": avere due chiavi, una v4 e una v6, reciprocamente firmate; un meccanismo semiautomatico gestisce retrieve e fallback

Key distribution/discovery: problemi

Voglio scrivere a alice@openpgp.example, dove trovo la chiave pubblica?

• Keyserver tradizionali (PKS, SKS)
  • Problemi legali: GDPR
  • Problemi tecnici: Certificate flooding e altri abusi
    • Trolling the Web of Trust - Micah Lee OHM2013
    • The SKS keyserver network is dying - dkg 2019
    • Community Impact of OpenPGP Certificate Flooding - dkg 2019

Risultato: giugno 2021 sks-keyservers.net shutdown

Key distribution/discovery: proposte

• Abuse Resistant Keystores

  • Verifying Keyservers (VKS)
  • First-Party Approved Third-Party Certifications
  • Timestamp aware merge strategy

• Web Key Directory Draft 2016 - Work In Progress
  https://openpgpkey.openpgp.example/.well-known/openpgpkey/openpgp.example/hu/${zbase32(sha1("alice"))}?l=alice

• DNS (DANE) RFC 7929 (2016)
  nslookup ${hex(sha256("alice"))}._openpgpkey.openpgp.example.

• LDAP, Keybase, Autocrypt, ...

Keystore a confronto

¹By syncronization ²By forwarding ³By delegation

Fonte: Andrew Gallagher, The State of the Keyservers in 2024 (gennaio 2024)

Keystore a confronto

Fonte: Minutes of the 8th OpenPGP Email Summit (giugno 2024)

Link utili

• RFC 9580
  https://www.rfc-editor.org/rfc/rfc9580.html
• IETF Working Group
  https://datatracker.ietf.org/wg/openpgp/about/
• LibrePGP
  https://librepgp.org/
• A Critique on the OpenPGP Updates
  https://librepgp.org/#critique
• A Critique on “A Critique on the OpenPGP Updates”
  https://blog.pgpkeys.eu/critique-critique.html
• A Summary of Known Security Issues in LibrePGP
  https://blog.pgpkeys.eu/security-issues-librepgp-2024-08.html

Link utili

• Abuse-Resistant OpenPGP Keystores
  https://datatracker.ietf.org/doc/draft-dkg-openpgp-abuse-resistant-keystore/
• The State of the Keyservers in 2024
  https://blog.pgpkeys.eu/state-keyservers-2024.html
• OpenPGP for application developers
  https://openpgp.dev/book/