Veröffentlichung von GnuPG 2.2.17 mit Änderungen zur Abwehr von Angriffen auf Schlüsselserver.

Veröffentlicht Veröffentlichung des Tools GnuPG 2.2.17 (GNU Privacy Guard), kompatibel mit den Standards von OpenPGP (RFC-4880) und S/MIME, bietet Werkzeuge zum Verschlüsseln von Daten, zur Arbeit mit digitalen Signaturen, zur Schlüsselverwaltung und zum Zugriff auf öffentliche Schlüsselverzeichnisse. Die GnuPG 2.2-Entwicklungszweig wird als aktive Version positioniert, in der ständig neue Funktionen hinzugefügt werden; im Zweig 2.1 sind nur Korrekturen erlaubt.

In der neuesten Version wurden Maßnahmen zur Bekämpfung von Angriffen auf Schlüsselserver, die zu einem Einfrieren von GnuPG führen und die weitere Nutzung unmöglich machen, bis das problematische Zertifikat aus dem lokalen Speicher entfernt oder der Zertifikatspeicher auf Basis von geprüften öffentlichen Schlüsseln neu erstellt wird. Die hinzugefügte Sicherheitsfunktion ignoriert standardmäßig alle externen digitalen Signaturen von Zertifikaten, die von Schlüsselservern empfangen wurden. Es sei daran erinnert, dass jeder Benutzer seine digitale Signatur für beliebige Zertifikate auf den Schlüsselserver hochladen kann, was von Angreifern genutzt wird, um für das Zertifikat des Opfers eine große Anzahl solcher Signaturen (mehr als hunderttausend) zu erstellen, deren Verarbeitung die normale Funktionalität von GnuPG stört.

Das Ignorieren von externen digitalen Signaturen wird durch die Option „self-sigs-only“ geregelt, die nur eigene Signaturen der Ersteller für Schlüssel erlaubt. Um das alte Verhalten wiederherzustellen, kann im gpg.conf die Einstellung „keyserver-options no-self-sigs-only,no-import-clean“ hinzugefügt werden. Wenn während des Betriebs die Importierung einer Anzahl von Blöcken festgestellt wird, die den lokalen Speicher (pubring.kbx) überlasten könnten, wechselt GnuPG automatisch in den Modus zum Ignorieren digitaler Signaturen („self-sigs-only,import-clean“), anstatt einen Fehler auszugeben.

Zur Aktualisierung von Schlüsseln mit dem Mechanismus Web Key Directory wurde die Option „—locate-external-key“ hinzugefügt, die verwendet werden kann, um das Zertifikatspeicher auf Basis überprüfter öffentlicher Schlüssel neu zu erstellen. Bei der Ausführung der Operation „—auto-key-retrieve“ ist der WKD-Mechanismus nun bevorzugter als Keyserver. Die Funktionsweise von WKD besteht darin, öffentliche Schlüssel im Web zu hosten, wobei eine Verknüpfung zur Domäne, die in der E-Mail-Adresse angegeben ist, besteht. Beispielsweise kann für die Adresse „test@example.com“ der Schlüssel über den Link „https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a“ abgerufen werden.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster