
<div dir='auto'>Whoever told you SHA-1 is broken was gravely in error. There are certain areas of the cryptographic space where it is no longer recommended. There are others where it's strong as a rock.<div dir="auto"><br></div><div dir="auto">As part of an iterated key derivation function, SHA-1 is still believed safe.  There's no reason to shy away from it, or AES128.</div><div dir="auto"><br></div><div dir="auto">(Forgive my terseness, please, writing this from my phone.)</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Feb 19, 2022 11:02 AM, Daniel Colquitt via Gnupg-users <gnupg-users@gnupg.org> wrote:<br type="attribution" /><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr"><br>

> On 19 Feb 2022, at 14:52, Werner Koch <wk@gnupg.org> wrote:<br>

> <br>

> gpg does not encrypt private keys.  This is done by gpg-agent.  The<br>

> method how the keys are protected internally are out of scope for<br>

> OpenPGP.  See gnupg/agent/keyformat.txt for the specification of the<br>

> internal format.<br>

<br>

Apologies for conflating gpg and gpg-agent. I also appreciate that the protection of keys is not part of the OpenPGP specification. <br>

<br>

> However, for allowing gpg to export a private key in the OpenPGP<br>

> specified format, gpg-agent applies the encryption.  For this S2K mode 3<br>

> with AES128 and SHA1 is used. <br>

<br>

Whilst AES128 is probably okay for now, SHA1 has been broken for well over 15 years. Hence, my question about specifying alternative algorithms for the internal storage and exporting of private keys.<br>

<br>

I now understand that it is not possible for the user to alter the encryption algorithm used by gpg-agent to secure private keys. Perhaps it would be a good idea to say this explicitly in a documentation? I appreciate that the manual does not say explicitly that this is possible, it certainly gives that impression.<br>

<br>

Anyway, thank you for your help.<br>

<br>

Dan<br>

_______________________________________________<br>

Gnupg-users mailing list<br>

Gnupg-users@gnupg.org<br>

https://lists.gnupg.org/mailman/listinfo/gnupg-users<br>

<br>

</p>

</blockquote></div><br></div>