我在多台计算机上安装了 Cygwin,想使用附带的 GnuPG 来加密仅供我使用的文件。附带的 GnuPG 版本是 1.4.9,但似乎还有 2.1 版本可用。使用 1.4.9 而不是 2.1 是否存在安全风险?
其次,当我运行 GnuPG 时,我收到一条内存不安全的消息,这值得担心吗?我的理解是,只有当我担心失去对机器的物理访问权限,并且不希望将信息写入交换文件(这可能会允许某人解密我的文件)时,或者当我在多用户系统上时,其他人可以读取与我的 GnuPG 进程相关的内存页面时,这才会成为问题。
答案1
所包含的 GnuPG 版本是 1.4.9,但似乎还有 2.1 版本可用。使用 1.4.9 而不是 2.1 是否存在安全风险?
使用最新版本总是一个好主意,尤其是对于加密等安全关键软件。但是,GnuPG 1.x 和 2.x 是同时维护的,1.x 系列的最新版本是 1.4.11,所以你不会太过时。1.4.10 和 1.4.11 的更新日志没有提到任何安全修复,所以你可能没问题。
其次,当我运行 GnuPG 时,我收到一条内存不安全的消息,这值得担心吗?我的理解是,只有当我担心失去对机器的物理访问权限,并且不希望将信息写入交换文件(这可能会允许某人解密我的文件)时,或者当我在多用户系统上时,其他人可以读取与我的 GnuPG 进程相关的内存页面时,这才会成为问题。
是的,确实如此。如果您是唯一使用计算机的人,并且您不担心攻击者可以物理访问您的硬件,则可以忽略该警告。您可以禁用它,请参阅GnuPG 常见问题解答。