Fragen? Antworten! Siehe auch: Alternativlos
Über die Jahre habe ich dann beim Anpassen von meinem diff auf neuere Versionen von gnupg gesehen, dass inzwischen knapp die Hälfte der Bugs in meinem Patch insgeheim upstream gefixt wurden. Es bleiben natürlich immer Restzweifel, aber die Bugs, die relativ sicher zu Problemen hätten führen können, sind in der Zwischenzeit verschwunden. Meine Ansage von damals, dass gnupg ein unsicherer Haufen Mist ist, gilt daher heute nicht mehr. Hintertüren habe ich damals übrigens keine gefunden, das sah alles aus wie ganz normale Schludrigkeit und Inkompetenz. Restzweifel bestehen natürlich immer. Und ich kann natürlich auch was übersehen haben. Insofern: Im Zweifelsfall selber nochmal gucken.
Update: Ich sollte dazu sagen, dass ich von den Sourcen von gnupg selbst rede, und auch nur von der 1.x-Version. Den ganzen Smartcard-Kram und etwaige Frontends habe ich nicht geprüft und habe es auch nicht vor. Und in den verwendeten Libraries können natürlich auch noch Fehler sein. Von "ist sicher" kann ja eh nie die Rede sein, so auch nicht in diesem Fall. Aber ich für schätze für mich das Risiko überschaubar genug ein, von einem Einsatz nicht mehr pauschal abzuraten.