El proyecto GnuPG ha lanzado la versión 2.5.19 de su software de privacidad, introduciendo soporte para criptografía post-cuántica (PQC) y actualizaciones críticas para usuarios de Windows. Según el anuncio del desarrollador Werner Koch en lists.gnupg.org, la nueva versión incluye el algoritmo Kyber, también conocido como ML-KEMA o FIPS-203, diseñado para proteger contra ataques de descifrado basados en computación cuántica.
Además de la implementación de Kyber, la serie 2.5 se centra en mejorar el rendimiento en Windows de 64 bits. Koch señaló que, si bien la serie 2.5 aporta estos avances criptográficos significativos, la próxima serie 2.6 se centrará principalmente en actualizaciones internas para aprovechar las funciones de las nuevas librerías, en lugar de realizar cambios arquitectónicos de gran alcance.
Los usuarios de la antigua serie 2.4 se enfrentan a un plazo de tiempo inminente para el mantenimiento del software. El comunicado advierte que la serie 2.4 llegará al fin de su vida útil en solo dos meses, instando a desarrolladores y administradores de sistemas a actualizar a la versión 2.5.19 de inmediato. El proyecto sostiene que todas las nuevas versiones de GnuPG mantienen la plena compatibilidad con las iteraciones anteriores.
Actualizaciones técnicas y corrección de errores
La versión 2.5.19 incluye diversas mejoras funcionales para los componentes gpgsm y agent. La herramienta gpgsm ahora permite incluir el modo de cifrado dentro de la cadena del algoritmo para la opción --cipher-algo, y ofrece informes de error más detallados cuando falla la comprobación de un punto de distribución de CRL.
Los parches de seguridad en esta versión abordan vulnerabilidades específicas y casos límite. La actualización corrige problemas de relleno (padding) de RSA en el manejo de firmas SSH y evita que el software llame a ciertas funciones cuando se utiliza una frase de paso vacía. Para los usuarios de tarjetas inteligentes, el componente agent presenta un comportamiento mejorado en la entrada de PIN (pinentry) y descripciones de texto más claras dentro del contexto de la tarjeta.
Otras correcciones abordan la compatibilidad con los certificados de Deutsche Telekom al omitir parámetros opcionales en PKCS#12. El lanzamiento también resuelve un error en la utilidad gpgtar relacionado con las comprobaciones de directorios y soluciona un error de lectura en la lista de confianza (trustlist) que anteriormente impedía el uso de archivos que carecían de un salto de línea al final.
Los desarrolladores pueden descargar el código fuente de GnuPG 2.5.19 o los instaladores para Windows directamente desde los servidores oficiales de GnuPG. El software sigue siendo gratuito y de código abierto bajo la Licencia Pública General GNU.
