<div dir="ltr"><div><div><div>Hey Sam,<br><br></div>The Gnupg security webpage states, "If you found a severe security problem and you do not want to publish it, please report it by mail to security at <a href="http://gnupg.org">gnupg.org</a>"</div><br></div><div>In my opinion the "severe" vulnerability classification for ECDSA should be reserved for signature forgery and private key extraction. While I judge this issue as relevant and important to address (especially due to the trivial exploitability), I do not see it as severe. Hence, I disclosed it publicly. Was this the wrong decision? <br><br></div><div>Thanks,</div><div>Jake<br><a href="https://jakegines.in">https://jakegines.in</a></div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Wed, Jan 14, 2026 at 5:43 PM Sam James <<a href="mailto:sam@gentoo.org">sam@gentoo.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Jake Ginesin via Gnupg-devel <<a href="mailto:gnupg-devel@gnupg.org" target="_blank">gnupg-devel@gnupg.org</a>> writes:<br>
<br>
> Thank you for your response, and thank you for upstreaming this issue to libksba. <br>
><br>
> May I be granted a GNU bugtracker account, such that I may participate in the ticket thread? I would like to emphasize<br>
> the security impact of this issue, as an attacker may very trivially mutate signatures without affecting validity. In<br>
> addition to the CVEs previously mentioned, CVE-2019-14859 and BIP-66 also report on the same issue in other libraries. <br>
<br>
As a casual observer, is there a reason you submitted this publicly, and<br>
not via <a href="https://gnupg.org/documentation/security.html" rel="noreferrer" target="_blank">https://gnupg.org/documentation/security.html</a>?<br>
<br>
I'm a bit surprised to have seen it publicly and also found it strange<br>
someone else did something similar recently on the libgcrypt mailing list.<br>
</blockquote></div>