<div dir="ltr"><div><div><div>Let's cut through these ill-informed suppositions once and for all: If host compliance was our problem, I would not have posted here at all.<br><br></div>Also, nowhere in this thread have I stated any inability to compile myself. Having been doing such for 40+ years, that is not our problem either.<br><br></div>Defending processes and systems to egregiously non-technical auditors is a challenge that grows year by year. If you have not qualified for PCI DSS Level 1, then you probably have only a cursory understanding of this situation. Based on previous questions I've posted here in last several years, it's clear to me that none of the experts here have such experience.<br><br></div><div>Sometimes, a question is just a question. Overthinking the environment in which that question was asked adds nothing to the discussion. Now that my question has been directly answered - thank you, Ben - and indirectly answered - thank you, to those who did not answer directly - we can move forward in my enterprise architecture endeavor.<br><br></div><div>Thank you, Daniel, for describing the complexity of the gnupg problem.<br><br></div><div>Our new environment will continue with gnupg v2.0.22, because that is the security level supported by stable and secure Linux operating systems. Please, do not debate me on this. Yes, we could do otherwise, but that will incur PCI DSS v3.2 challenges unnecessary to us.<br><br></div><div>Thank you.<br><br></div><div>~ helices<br><br></div><div><div><br><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 22, 2018 at 12:22 AM, Ben McGinnes <span dir="ltr"><<a href="mailto:ben@adversary.org" target="_blank">ben@adversary.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Feb 21, 2018 at 07:36:08AM -0800, Dan Kegel wrote:<br>
> On Tue, Feb 20, 2018 at 10:16 PM, Ben McGinnes <<a href="mailto:ben@adversary.org">ben@adversary.org</a>> wrote:<br>
>><br>
</span><span class="">>> Because these two lines explain *precisely* why you need something<br>
>> like RHEL or CentOS (certified systems to go with the auditing)<br>
>> *and* updated crypto.<br>
><br>
> And when you're on those certified, curated systems, you have<br>
> access to tools like<br>
> <a href="https://www.open-scap.org/resources/documentation/make-a-rhel7-server-compliant-with-pci-dss/" rel="noreferrer" target="_blank">https://www.open-scap.org/<wbr>resources/documentation/make-<wbr>a-rhel7-server-compliant-with-<wbr>pci-dss/</a><br>
> to help make sure you're in compliance, I think.<br>
><br>
> I suspect that kind of approach would make passing audits a lot<br>
> easier than building the latest gnupg release yourself...<br>
> and is less likely to break things.<br>
<br>
</span>In all likelihood, yes ... however <a href="http://open-scap.org" rel="noreferrer" target="_blank">open-scap.org</a> is a RedHat service<br>
and most likely only supplied to RHEL customers seeking PCI-DSS<br>
compliance along with direct support via their service contract.<br>
<br>
If, however, this particular case actually deals with CentOS systems<br>
and not RHEL, then the OP has elected to forego that type of<br>
professional service contract from the vendor in order to do it<br>
themselves.<br>
<br>
Which brings us either back to this thread, or a business decision at<br>
their end regarding whether or not bring their systems back to RHEL<br>
(it requires changing two files, IIRC, assuming they haven't massively<br>
modified things) and paying RedHat whatever it takes to get the job<br>
done.  I cannot predict which they will choose, nor am I willing to<br>
make a recommendation solely on what's been presented here.<br>
<br>
Still, the OP wanted options and now they've been provided.  :)<br>
<br>
<br>
Regards,<br>
Ben<br>
<br>______________________________<wbr>_________________<br>
Gnupg-users mailing list<br>
<a href="mailto:Gnupg-users@gnupg.org">Gnupg-users@gnupg.org</a><br>
<a href="http://lists.gnupg.org/mailman/listinfo/gnupg-users" rel="noreferrer" target="_blank">http://lists.gnupg.org/<wbr>mailman/listinfo/gnupg-users</a><br>
<br></blockquote></div><br></div>