GPG加密工具存在多个安全漏洞，包括明文签名伪造、内存损坏等问题。作者正在紧急修复，承诺很快会发布技术细节和补丁。网站源代码因匆忙离开而丢失，正在重新编写。

标题：即将发布漏洞详情及补丁！

来源网站：gpg.fail

内容概要： 本站即将公布GnuPG加密软件的一系列安全漏洞分析资料，包括技术演示文稿（Slides）、概念验证代码（PoCs）和修复补丁。网站管理员crackticker表示由于匆忙离开时遗失了源代码，正在重新编写网站代码，预计次日将推出优化后的新版网站。

目前已披露的14个安全漏洞包括： 1. GnuPG分离签名多明文攻击漏洞 2. 字面数据字段路径遍历漏洞 3. 明文签名哈希计算截断漏洞 4. 加密消息可塑性检查缺陷导致的明文恢复攻击 5. ASCII编码解析内存损坏漏洞 6. Minisign可信注释注入漏洞（重复列出两次） 7. NotDashEscaped标头实现导致的明文签名伪造 8. OpenPGP明文签名框架格式混淆漏洞 9. 签名验证与消息内容输出混淆问题 10. 空字节导致的明文签名伪造 11. Radix64行截断多格式攻击漏洞 12. 密钥签名检查时可能降级至SHA1算法 13. 信任包解析导致的任意子密钥添加漏洞

网站提供视频点播(VOD)资源，并公布了联系邮箱（经防爬取处理）。

（注：原文中重复的minisign漏洞条目已合并，技术细节描述进行了专业化精简，保留了核心漏洞类型和攻击方式说明）

评论总结：

1. GnuPG漏洞问题

   • 评论指出CCC演讲揭露了GnuPG的14个可利用漏洞，多数未修复，部分被维护者标记为"wontfix"。
   • 关键引用：
     "they've uncovered 14 exploitable vulnerabilities in GnuPG, of which most remain unpatched" (elric)
     "trust in Werner Koch is gone. Wontfix??" (rurban)

2. 技术架构批评

   • 评论认为PGP的包系统设计存在根本缺陷，状态机复杂且易受攻击，导致多种漏洞（如签名分离攻击、数据篡改漏洞）。
   • 关键引用：
     "PGP's insane packet system... like something in between XMLDSIG and SSL2" (tptacek)
     "The malleability bug is particularly slick... an incoherent state machine issue" (tptacek)

3. 替代方案讨论

   • 部分用户建议转向其他工具（如Sequoia、SSH密钥签名），认为GnuPG已脱离标准且存在更好选择。
   • 关键引用：
     "there are many better options. Sequoia chameleon even has drop in tooling" (singpolyma3)
     "is signing with SSH keys considered more secure now?" (oefrha)

4. 社区反应与资源

   • 漏洞详情和演讲记录已公开，但网站一度因访问过载瘫痪。
   • 关键引用：
     "the writeup is now available and the recording lives at..." (somethrowa123)
     "hug of death?" (_haxx0rz)

5. 维护争议

   • 对维护者Werner Koch的决策（如拒绝修复）表示质疑，呼吁企业支持开发资源。
   • 关键引用：
     "Surely IBM & co have a couple of spare developers to contribute?" (elric)
     "Werner Koch recently posted this on their blog..." (derleyici)

总结：评论聚焦GnuPG漏洞严重性、技术设计缺陷及维护问题，同时探讨替代方案，反映社区对PGP生态的担忧。