De officiele download site is: GnuPG Homepage. Daar zijn ook links naar mirror sites te vinden.
Vanwege juridische beperkingen is het niet teogestaan om GnuPG te downloaden van servers in de USA. De USA legt export beperkingen op aan cryptografische software. Daarom is PGP altijd beschikbaar in een internationale en een nationale (voor de USA) versie. Voor de internationale versie van de software is de source code geexporteerd in afgedrukte vorm, als een boek. Deze versie is in Europa (Oslo) gescand. Meer informatie hierover is te vinden op Internationale PGP Homepage. De internationale versie mag wel in de USA geimporteerd worden maar mag daarna niet meer geexporteerd worden.
Als je al een versie van PGP of GnuPG geinstalleerd hebt, doe je er natuurlijk verstandig aan de handtekening van de file te controleren (zie Handtekeningen).
GnuPG is verkrijgbaar als een Debian pakket, een RPM pakket (Redhat Package Manager) of in source code. Met de nieuwste Redhat distributies wordt GnuPG meegeleverd. Gebruik dit commando om te controleren of GnuPG op je systeem is geinstalleerd:
rpm -q gnupg
De paketten zijn geinstalleerd als binaire files voor Linux. Wanneer je GnuPG voor een ander platform nodig hebt, zul je het zelf moeten compileren. Het wordt dan natuurlijk gewaardeerd als je installatie methoden voor een ander platform aan het publiek beschikbaar stelt.
Aangezien de ontwikkeling voor het leeuwendeel op Linux (x86) plaats vindt, is de vertaling naar andere systemen vaak wat problematisch. De actuele lijst van operating systems die GnuPG ondersteunen is te vinden op de GnuPG Homepage. Hieronder is een methode beschreven om GnuPG vanuit een source tar-ball te installeren. Deze methode is redelijk platform onafhankelijk.
Pak de tar-ball uit met het commando:
tar xvzf gnupg-?.?.?.tar.gz
Ga na het uitpakken naar de directory waar de source code in staat. Type dan:
./configure
Hierbij zou niets bijzonders moeten gebeuren. Met
./configure --help
kun je de beschikbare opties voor het compileren bekijken.
Als er problemen optreden die betrekking hebben op de internationalisatie
(GET text), kun je een versie gebruiken die met de source code meegeleverd
wordt door middel van de --with-included-gettext optie
of dit uitschakelen door de --disable-NLS optie te gebruiken.
Hierna kunnen we de boel compileren door
make
make clean, daarna configure en probeer opnieuw
te compileren.
Werkt dat ook niet, dan is het tijd om paniek te zaaien.
Type nu:
make install
/usr/local/share/gnupg/ de directory waar GnuPG geinstalleerd wordt.
Je kunt deze directory vinden in de file options.skel.
Je kunt GnuPG als suid root draaien, zodat het programma draait met
alle rechten van de superuser.
Hiermee sluit je de mogelijkheid uit dat bepaalde delen van het programma
extern opgeslagen worden en door iedereen gelezen kunnen worden.
Het is mij echter niet mogelijk om dit risiko in te schatten.
Echter, als je het programma met suid root draait moet je alert blijven
op het gevaar van Trojaanse paarden.
Een Trojaans paard wat met de rechten van de superuser draait kan in
het gehele systeem schade aanrichten.
Als je om deze of een andere reden er voor kiest om GnuPG niet als root
te draaien, kun je de waarschuwing onderdrukken door de instelling
no-secmem-warning in ~/.gnupg/options te zetten.