冷战中,GPG 与 OpenPGP 在后量子密码学领域各行其是

En froid, GPG et OpenPGP avancent séparément sur la cryptographie post-quantique

Silicon.fr by Clément Bohic 2026-04-28 13:57 Original
摘要
GPG 与 OpenPGP 因发展路线分歧正式分道,GPG 转向自创分支 LibrePGP,其 2.5.x 版实验性支持抗量子算法 Kyber 混合 X25519,旧版 2.4.x 将于 2026 年中停维。IETF 的 OpenPGP 工作组则制定自己的后量子密码草案,包含多种混合签名和封装方案,由德国联邦信息安全办公室资助的 Thunderbird 项目、Proton 及 SequoiaPGP 等厂商已实现该草案,主要参与方包括德国 MTG AG 和 Proton 的工程师。

GNU Privacy Guard(GPG)与 OpenPGP 标准正各自推进后量子密码学支持,但二者已分道扬镳。GPG 长期作为 OpenPGP(RFC 4880)的实现,因对标准演进方向的分歧,于 2023 年宣布疏离并创建分支 LibrePGP,自 2024 年夏季发布的 2.5.0 版本起已集成该分支。基于原 OpenPGP 的 2.4.x 系列则将在 2026 年中终止支持,项目方建议用户迁移至承担过渡作用的 2.5.x,为未来的稳定版 2.6 做好准备。

版本 2.5.x 最显著的变化是实验性引入了后量子密码学,具体采用密钥封装机制 Kyber(ML-KEM,FIPS 203),并以混合模式与经典椭圆曲线算法 X25519 组合使用。

与此同时,IETF 下属的 OpenPGP 工作组也在制定自身的后量子密码学草案。草案定义了七种算法选项,均采用混合或独立模式,并依约束等级分为 MUST、SHOULD 和 MAY 三类。签名算法方面,ML-DSA-65 结合 Ed25519(ID 30)为强制性要求,ML-DSA-87 结合 Ed448(ID 31)为推荐,而 SLH-DSA 系列(ID 32-34)仅作为可选项;密钥封装算法中,ML-KEM-768 与 X25519 组合(ID 35)为强制,ML-KEM-1024 与 X448 组合(ID 36)为推荐。SHOULD 级别的要求可在资源受限环境中省略。为兼顾性能与安全性,每种算法均提供两个安全级别,其中 SLH-DSA 在基础安全级别上还额外提供了签名生成速度(128f 较快)与签名大小(128s 较小)之间的权衡。在 ML-KEM 封装方案中,经典与后量子封装并行执行,结果组合生成共享秘密;而 ML-DSA 与 EdDSA 签名则彼此独立。

针对互操作性,草稿推荐使用 ID 31 和 36,但并非合规必备。目前已有多个项目实现该草案,包括德国联邦信息安全办公室(BSI)资助的 Thunderbird 的 PCQ 项目、Proton 的 OpenPGP.js 和 GopenPGP 库,以及以 OpenSSL 为后端的 SequoiaPGP。草案的制定以德国为主要推动力,联合作者包括德国 BSI 顾问 Stavros Kousidis、MTG AG 系统架构师 Falko Strenzke,以及 Proton 加密团队后端工程师 Aron Wussler。

此外,IETF 另一个工作组正推进一份独立草案,旨在为 OpenPGP 增添对对称密钥的支持,以进一步增强对抗量子计算机的能力。两大原本同源的技术路线在 PQC 转型中渐行渐远,将使未来 OpenPGP 生态的兼容性格局面临更大变数。

Summary
GPG and OpenPGP are separately developing post-quantum cryptographic support, with GPG integrating Kyber experimentally into its forked LibrePGP branch, while the IETF's OpenPGP working group drafts a standard featuring multiple hybrid algorithms. Key contributors include Proton, Thunderbird (funded by Germany's cybersecurity agency), SequoiaPGP, and authors such as Aron Wussler and Falko Strenzke. This split risks fragmenting the OpenPGP ecosystem as both sides pursue quantum-resistant encryption with differing implementations, potentially affecting interoperability for encrypted communications.

GnuPG (GPG) and the OpenPGP standard are both advancing toward post-quantum cryptography—but no longer together. After more than 25 years of implementation, GPG formally distanced itself from OpenPGP in 2023 amid disagreements over the standard’s evolution. It created a fork, LibrePGP, integrated into GPG version 2.5.0 released in summer 2024. The existing 2.4.x branch, which remains compliant with OpenPGP, will reach end of life in mid-2026, and users are urged to transition to 2.5.x before the next “true” stable release, 2.6.

Beyond the switch to LibrePGP, the headline feature of the 2.5.x series is experimental post-quantum support. Specifically, GPG has combined the Kyber key-encapsulation mechanism (ML-KEM, standardized as FIPS 203) with the classical X25519 algorithm in a hybrid construct.

Meanwhile, the OpenPGP working group at the IETF is pursuing its own post-quantum approach, detailed in a draft standard. It specifies a set of algorithm combinations with different security and requirement levels:

  • For signatures, ML-DSA-65 paired with Ed25519 is mandatory (MUST). ML-DSA-87 + Ed448 is recommended (SHOULD), and three SLH-DSA variants (using SHAKE, with trade-offs between signature generation speed and size) are optional (MAY).
  • For key encapsulation, ML-KEM-768 + X25519 is mandatory (MUST), and ML-KEM-1024 + X448 is recommended (SHOULD).

The SHOULD-level requirements can be omitted when targeting resource-constrained environments. Encapsulation with ML-KEM performs both classical and post-quantum operations in parallel, combining them to derive a shared secret, while signature schemes ML-DSA and EdDSA remain independent. For interoperability, the draft recommends the higher security pair (ML-DSA-87 + Ed448 and ML-KEM-1024 + X448), though these are not required for compliance.

Several projects are already implementing the draft: PCQ@Thunderbird (funded by Germany’s BSI), Proton (in its OpenPGP.js and GopenPGP libraries), and SequoiaPGP (starting with its OpenSSL back-end). The effort has a strong German center of gravity: the draft is co-authored by Stavros Kousidis (a consultant for the German BSI) and Falko Strenzke (systems architect at crypto technology provider MTG AG), along with Aron Wussler of Proton’s crypto team.

A separate IETF working group is also drafting an extension to add symmetric key support to OpenPGP, offering further resilience against quantum computers.

Résumé
GPG et OpenPGP avancent séparément vers la cryptographie post-quantique : GPG a forké LibrePGP et intègre expérimentalement Kyber avec X25519 dans sa version 2.5.x, tandis que l’IETF standardise des combinaisons hybrides (ML-KEM, ML-DSA) implémentées par Thunderbird (financé par l’ANSSI allemande), Proton et SequoiaPGP. Portée par des acteurs allemands comme Stavros Kousidis, Falko Strenzke (MTG AG) et Aron Wussler (Proton), cette divergence stratégique risque de fragmenter l’interopérabilité et d’accélérer la migration des utilisateurs avant la fin de vie de la branche 2.4.x en 2026.

GPG et OpenPGP avancent tous les deux vers la cryptographie post-quantique… mais pas ensemble.

Depuis plus de 25 ans, le premier implémente le second, désormais défini dans la norme RFC 4880. Mais leur histoire commune arrive à son terme. GPG avait officialisé sa prise de distance en 2023, sur fond de désaccord quant à l’évolution d’OpenPGP. Il avait créé un fork : LibrePGP, intégré à partir de sa version 2.5.0, publiée à l’été 2024.

La branche 2.4.x est restée sur OpenPGP, mais elle arrive en fin de vie mi-2026. PGP recommande ainsi de basculer vers la 2.5.x, censée faire office de transition vers la prochaine « véritable » version stable : la 2.6.

Hormis le passage à LibrePGP, la principale nouveauté est le support – pour le moment expérimental – de la cryptographie post-quantique. En l’occurrence, de l’algorithme Kyber (ML-KEM, FIPS 203). Il s’agit d’un mécanisme d’encapsulation de clés. Le projet GPG ne l’a pas implémenté seul : il l’a combiné à un algo classique (X25519).

7 options de cryptographie post-quantique en brouillon chez OpenPGP

Au sein de l’IETF, le groupe de travail OpenPGP mène ses propres travaux. Son brouillon de norme implémente actuellement ML-KEM en configuration hybride. Même chose pour ML-DSA (signature). Considéré comme plus sécurisé en contrepartie d’une plus grande lenteur et de signatures plus lourdes, SLH-DSA est implémenté de manière autonome.

ID

Algorithmes de signature

Niveau d’exigence

30

ML-DSA-65 + Ed25519

Obligatoire (MUST)

31

ML-DSA-87 + Ed448

Recommandé (SHOULD)

32

SLH-DSA-SHAKE-128s

Possible (MAY)

33

SLH-DSA-SHAKE-128f

Possible (MAY)

34

SLH-DSA-SHAKE-256s

Possible (MAY)

ID

Algorithmes d’encapsulation

Niveau d’exigence

35

ML-KEM-768 + X25519

Obligatoire (MUST)

36

ML-KEM-1024 + X448

Recommandé (SHOULD)

Les exigences de niveau SHOULD peuvent être ignorées lorsqu’on cible un environnement aux ressources restreintes.

Chaque algo ou combinaison d’algos offre deux niveaux de sécurité, pour permettre un compromis avec la performance. Au niveau de sécurité de base, les algorithmes SLH-DSA proposent un compromis supplémentaire, entre temps de génération de la signature (128f est plus rapide) et sa taille (128s en produit de plus petites).

Pour l’interopérabilité, OpenPGP recommande les options 31 et 36, non requises en revanche pour la conformité. Avec ML-KEM, les deux encapsulations (classique et post-quantique) sont faites en parallèle, l’ensemble étant combiné pour obtenir un secret. Les signatures ML-DSA et EdDSA, en revanche, sont indépendantes.

Le projet PCQ@Thunderbird implémente ce brouillon, avec un financement de l’ANSSI allemande. Proton aussi l’a également intégré, dans ses bibliothèques OpenGPG.js et GopenPGP. SequoiaPGP également, à commencer par son back-end OpenSSL.

Le centre de gravité de l’initiative est en Allemagne. Le brouillon est effectivement cosigné par Stavros Kousidis (consultant pour l’ANSSI allemande) et Falko Strenzke (architecte système chez MTG AG, fournisseur de technologies cryptographiques). Il l’est aussi par Aron Wussler (ingénieur back-end dans l’équipe crypto de Proton, éditeur suisse).

L’IETF a un autre brouillon – porté par un autre groupe de travail – pour ajouter à OpenPGP la prise en charge des clés symétriques, plus résistantes à l’ordinateur quantique.

Illustration © peacehunter – Adobe Stock

The post En froid, GPG et OpenPGP avancent séparément sur la cryptographie post-quantique appeared first on Silicon.fr.

AI Insight
中文 EN
Core Point

GPG and the OpenPGP standard are separately advancing post-quantum cryptography, with GPG adopting a fork (LibrePGP) and experimental hybrid ML-KEM, while IETF drafts its own hybrid PQC algorithms, risking fragmented migration for encrypted email.

Key Players
  • GPG (GnuPG) — OpenPGP implementation forking to LibrePGP with experimental PQC; global project.
  • IETF OpenPGP Working Group — Standards body drafting hybrid PQC for the OpenPGP format.
  • Proton — Swiss privacy email provider integrating OpenPGP PQC draft in its crypto libraries.
  • Thunderbird — Email client implementing OpenPGP PQC via PCQ@Thunderbird, funded by German BSI.
  • SequoiaPGP — Rust-based OpenPGP implementation adding PQC draft support.
  • German BSI — Federal cybersecurity agency funding Thunderbird’s PQC development.
Industry Impact
  • ICT: High — Divergent PQC paths complicate interoperability and slow email security upgrades.
  • Computing/AI: Medium — New quantum-resistant algorithms like ML-KEM impact cryptographic libraries.
Tracking

Monitor — The split remains experimental but could hinder seamless email encryption evolution if standards diverge further.

Related Companies

No companies linked yet

Categories
软件 网络安全 科研
AI Processing
2026-04-28 18:13
deepseek / deepseek-v4-pro