рэліз інструментара (GNU Privacy Guard), сумяшчальнага са стандартамі OpenPGP () і S/MIME, і які прадстаўляе ўтыліты для шыфравання дадзеных, працы з электроннымі подпісамі, кіраванні ключамі і доступу да публічных сховішчаў ключоў. Нагадаем, што галінка GnuPG 2.2 пазіцыянуецца як які развіваецца выпуск, у якім працягваюць дадавацца новыя магчымасці, у галінцы 2.1 дапушчаюцца толькі якія карэктуюць выпраўленні.
У новым выпуску прапанаваны меры для супрацьстаяння , якая прыводзіць да завісання GnuPG і немагчымасці далейшай працы да выдалення праблемнага сертыфіката з лакальнага сховішча або перастварэння сховішчы сертыфікатаў на аснове правераных адкрытых ключоў. Дададзеная абарона пабудавана на поўным ігнараванні па змаўчанні ўсіх іншых лічбавых подпісаў сертыфікатаў, атрыманых з сервераў захоўвання ключоў. Нагадаем, што любы карыстач можа дадаць на сервер захоўвання ключоў свой лічбавы подпіс для адвольных сертыфікатаў, што выкарыстоўваецца зламыснікамі для стварэння для сертыфіката ахвяры велізарнай колькасці такіх подпісаў (больш за сотню тысяч), апрацоўка якіх парушае звычайную працу GnuPG.
Ігнараванне іншых лічбавых подпісаў рэгулююцца опцыяй "self-sigs-only", якая дапускае загрузку для ключоў толькі ўласных подпісаў іх стваральнікаў. Для аднаўлення старых паводзін у gpg.conf можа дадаць наладу "keyserver-options no-self-sigs-only, no-import-clean". Пры гэтым калі падчас працы фіксуецца імпартаванне ліку блокаў, якое выкліча перапаўненне лакальнага сховішча (pubring.kbx), GnuPG замест вываду памылкі аўтаматычна ўключае рэжым ігнаравання лічбавых подпісаў ("self-sigs-only,import-clean").
Для абнаўлення ключоў з выкарыстаннем механізму (WKD) дададзена опцыя "—locate-external-key", якую можна выкарыстоўваць для перастварэння сховішчы сертыфікатаў на аснове правераных адкрытых ключоў. Пры выкананні аперацыі "auto-key-retrieve" механізм WKD зараз з'яўляецца больш пераважным, чым серверы ключоў. Сутнасць працы WKD складаецца ў размяшчэнні адчыненых ключоў у web c прывязкай да дамена, паказанаму ў паштовым адрасе. Напрыклад, для адрасу «[электронная пошта абаронена]» ключ можа быць загружаны праз спасылку «https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a».
Крыніца: opennet.ru