llançament del conjunt d'eines (GNU Privacy Guard), compatible amb els estàndards OpenPGP () i S/MIME, i proporciona utilitats per al xifratge de dades, treballant amb signatures electròniques, gestió de claus i accés a magatzems de claus públiques. Recordeu que la branca GnuPG 2.2 es posiciona com una versió de desenvolupament en la qual es continuen afegint noves característiques; només es permeten correccions correctives a la branca 2.1.
El nou número proposa mesures per contrarestar-ho , fent que GnuPG es pengi i no pugui continuar treballant fins que el certificat problemàtic s'elimini de la botiga local o es torni a crear el magatzem de certificats basant-se en claus públiques verificades. La protecció afegida es basa en ignorar completament per defecte totes les signatures digitals de tercers dels certificats rebuts dels servidors d'emmagatzematge de claus. Recordem que qualsevol usuari pot afegir la seva pròpia signatura digital per a certificats arbitraris al servidor d'emmagatzematge de claus, que és utilitzat pels atacants per crear un gran nombre d'aquestes signatures (més de cent mil) per al certificat de la víctima, el processament de les quals interromp el funcionament normal de GnuPG.
Ignorar signatures digitals de tercers està regulat per l'opció "només autosigna", que permet que només es carreguin les signatures dels creadors per a les claus. Per restaurar el comportament antic, podeu afegir la configuració "keyserver-options no-self-sigs-only, no-import-clean" a gpg.conf. A més, si durant l'operació es detecta la importació d'un nombre de blocs, que provocarà un desbordament de l'emmagatzematge local (pubring.kbx), en lloc de mostrar un error, GnuPG activarà automàticament el mode d'ignorar les signatures digitals ("self-sigs". -només, importació-neteja”).
Per actualitzar les claus mitjançant el mecanisme (WKD) S'ha afegit una opció "--locate-external-key" que es pot utilitzar per recrear el magatzem de certificats basat en claus públiques verificades. Quan es realitza l'operació "--auto-key-retrieve", ara es prefereix el mecanisme WKD sobre els servidors de claus. L'essència de WKD és col·locar claus públiques a la web amb un enllaç al domini especificat a l'adreça postal. Per exemple, per a l'adreça "[protegit per correu electrònic]"La clau es pot descarregar mitjançant l'enllaç "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".
Font: opennet.ru