Le projet est initié à la fin des années 1990 par Werner Koch dans le but de remplacer la suite PGP de logiciels cryptographiques (plus précisément, de cryptographie asymétrique) par une alternative en logiciel libre. Il a pour cela bénéficié d'un financement important de la part du ministère fédéral de l'Économie d'Allemagne[6]. La première version stable est publiée le 7 septembre 1999[7]. En décembre 2013 est lancée une première campagne de financement participatif, dans le but de créer un site web plus attractif, améliorer la documentation et sortir la version 2.1 de GnuPG[8]. En 24 heures, 90 % de l'objectif (24 000 €) ont été atteints[9]. Depuis 2015, la Core Infrastructure Initiative subventionne le projet à hauteur de plus de 50 000 € par an[10].
Caractéristiques
Le principal inconvénient de GnuPG est — comme pour tous les procédés de chiffrement asymétrique — que la clé privée doit être enregistrée quelque part. Si c'est sur une clé USB que l'on garde avec soi, les risques de perte, de vol ou de copie existent. Si elle se trouve sur le disque dur d'un ordinateur, on est alors exposé aux risques classiques du piratage. Notons qu'une phrase (ou mot) de passe, optionnelle mais pouvant protéger la clé privée, limite alors les risques.
Depuis novembre 2014, GnuPG est maintenu dans trois branches : la branche classique, portable mais désuète, dont la dernière version est la 1.4.2x ; la branche stable, offrant plus de fonctionnalités (par exemple le support des certificatsX.509), dont la dernière version est la 2.0.3x ; enfin la branche moderne, présentant de nouvelles fonctionnalités (par exemple le support de la cryptographie sur les courbes elliptiques), dont la dernière version est la 2.2.x.
Depuis sa version 2.0, GnuPG peut être installé sur une carte à puce. La clé privée est alors protégée par le code PIN de la carte, ce qui permet d'en améliorer sensiblement la confidentialité.
GnuPG est aujourd'hui communément utilisé, notamment depuis les révélations sur le programme de surveillance PRISM[11]. Il figure parmi les outils généralement recommandés[12]. Sa robustesse face aux attaques de la NSA a été confirmée dans un article publié en décembre 2014 par Der Spiegel[13].
↑Jacob Appelbaum, Aaron Gibson, Christian Grothoff, Andy Müller-Maguhn, Laura Poitras, Michael Sontheimer et Christian Stöcker, « Inside the NSA's War on Internet Security », sur spiegel.de, 28 décembre 2014 (consulté le 29 décembre 2014)