ProHoster > Блог > internet vijesti > Izdanje GnuPG 2.2.17 sa promjenama u kontranapadu na ključne servere

Izdanje GnuPG 2.2.17 sa promjenama u kontranapadu na ključne servere

objavljeno izdanje kompleta alata GnuPG 2.2.17 (GNU Privacy Guard), kompatibilan sa OpenPGP standardima (RFC-4880) i S/MIME, i pruža uslužne programe za enkripciju podataka, rad s elektronskim potpisima, upravljanje ključevima i pristup spremištima javnih ključeva. Podsjetimo da je grana GnuPG 2.2 pozicionirana kao razvojno izdanje u koje se nastavljaju dodavati nove funkcije; samo su ispravke dozvoljene u grani 2.1.

Novo izdanje predlaže mjere za suzbijanje napad na ključne servere, što dovodi do zastoja GnuPG-a i nemogućnosti da se nastavi s radom sve dok se problematični certifikat ne izbriše iz lokalnog spremišta ili se spremište certifikata ponovo kreira na osnovu provjerenih javnih ključeva. Dodatna zaštita se zasniva na potpunom ignorisanju svih digitalnih potpisa trećih strana sertifikata primljenih od servera za skladištenje ključeva. Podsjetimo, svaki korisnik može dodati vlastiti digitalni potpis za proizvoljne certifikate na server za pohranu ključeva, koji napadači koriste za kreiranje ogromnog broja takvih potpisa (više od stotinu hiljada) za certifikat žrtve, čija obrada remeti normalan rad GnuPG-a.

Ignoriranje digitalnih potpisa trećih strana regulirano je opcijom „samo-potpisivanja“, koja omogućava učitavanje samo vlastitih potpisa za ključeve. Da biste vratili staro ponašanje, možete dodati postavku "keyserver-options no-self-sigs-only,no-import-clean" u gpg.conf. Štaviše, ako se tokom rada detektuje uvoz većeg broja blokova, što će izazvati prelivanje lokalne memorije (pubring.kbx), umesto da prikaže grešku, GnuPG automatski uključuje režim ignorisanja digitalnih potpisa („self-sigs -samo,uvozno-čisto”).

Za ažuriranje ključeva pomoću mehanizma Web Key Directory (WKD) Dodata je opcija "--locate-external-key" koja se može koristiti za ponovno kreiranje spremišta certifikata na osnovu provjerenih javnih ključeva. Prilikom izvođenja operacije "--auto-key-retrieve", WKD mehanizam je sada poželjniji u odnosu na servere ključeva. Suština WKD-a je postavljanje javnih ključeva na web sa vezom do domene navedene u poštanskoj adresi. Na primjer, za adresu "[email zaštićen]"Ključ se može preuzeti putem veze "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".

izvor: opennet.ru

Dodajte komentar