[GnuPG Logo]    
· English ·        
Links  
   
 
projects / gnupg-doc.git / blob
? search:


69e1ff4cbc5bf7a4e421fdf571078d3dba6e2ef1
[gnupg-doc.git] / web / documentation / security.org
1 #+TITLE: GnuPG - Security
2 #+STARTUP: showall
3 #+SETUPFILE: "../share/setup.inc"
4
5 * Security
6
7 The GnuPG Project takes the security of software it develops very
8 seriously.  In general we prefer a [[https://en.wikipedia.org/wiki/Full_disclosure_(computer_security)][full disclosure]] approach and all
9 bugs listed in our [[file:bts.org][bug tracker]] as well as code changes in our [[../download/git.org][software
10 repository]] are public.  Given that GnuPG is an important part of many
11 software distributions and severe bugs in GnuPG would affect their
12 users directly, we co-ordinate with them in private as soon as we
13 learn about a severe vulnerability.
14
15 Sometimes we receive pre-notifications of research which may lead to a
16 new kind of vulnerability.  In these cases we may work with the
17 researchers in private on a solution and co-ordinate our fix release
18 with them.
19
20
21 ** Threat Model of libgcrypt
22
23 Libgcrypt has been developed for use in a wide variety of platforms
24 with different security needs.  Some platforms exhibit fine-grained
25 side channels which can be used to spy on processes running in other
26 containers or virtual machines.  Although Libgcrypt implements many
27 countermeasures against such side-channels attacks, it is not possible
28 to avoid all of them.  In the worst case it is thus possible to leak
29 the entire private key or a password to a malicious process running in
30 another virtual machine on the same hardware.
31
32 Those hardware related threats are out of scope in Libgcrypt's threat
33 model.  It is up to users not to offer any access to those
34 side-channels.
35
36
37 ** Security contact
38
39 If you found a *severe* security problem and you do not want to
40 publish it, please report it by mail to security at gnupg.org.  We
41 prefer reports in plain text format; if needed we can also work with
42 PDF files.  For security reasons we won't read any other complex data
43 formats (e.g. docx or odt).
44
45 Note that we do not use a team OpenPGP key.  Thus please write a
46 non-encrypted message to the security address and ask for the keys of
47 the developers at duty and then encrypt the mail to all of them.  A
48 list of our core developers can be found [[../people/index.org][here]]; they are all active on
49 the gnupg-devel mailing list.
The GnuPG website and other docs
  
   
 
 
  Technical resources for this
service are sponsered by		  
  g10 Code GmbH  

Valid XHTML 1.0!     Peace!     Valid CSS!