Toolkit-Veröffentlichung (GNU Privacy Guard), kompatibel mit OpenPGP-Standards () und S/MIME und bietet Dienstprogramme für die Datenverschlüsselung, die Arbeit mit elektronischen Signaturen, die Schlüsselverwaltung und den Zugriff auf öffentliche Schlüsselspeicher. Zur Erinnerung: Der GnuPG 2.2-Zweig ist als Entwicklungsversion positioniert, die weiterhin neue Funktionen hinzufügt; der 2.1-Zweig erlaubt nur korrigierende Korrekturen.
Die neue Ausgabe schlägt Gegenmaßnahmen vor Dies führt dazu, dass GnuPG hängen bleibt und die Arbeit nicht fortgesetzt werden kann, bis das problematische Zertifikat aus dem lokalen Speicher gelöscht oder der Zertifikatspeicher auf der Grundlage verifizierter öffentlicher Schlüssel neu erstellt wird. Der zusätzliche Schutz basiert darauf, dass alle digitalen Signaturen Dritter von Zertifikaten, die von Schlüsselspeicherservern empfangen werden, standardmäßig vollständig ignoriert werden. Erinnern wir uns daran, dass jeder Benutzer dem Schlüsselspeicherserver seine eigene digitale Signatur für beliebige Zertifikate hinzufügen kann, die von Angreifern verwendet wird, um eine große Anzahl solcher Signaturen (mehr als hunderttausend) für das Zertifikat des Opfers zu erstellen, deren Verarbeitung stört den normalen Betrieb von GnuPG.
Das Ignorieren digitaler Signaturen Dritter wird durch die Option „Selbstsignaturen nur“ geregelt, die es erlaubt, nur die eigenen Signaturen der Ersteller für Schlüssel zu laden. Um das alte Verhalten wiederherzustellen, können Sie die Einstellung „keyserver-options no-self-sigs-only,no-import-clean“ zu gpg.conf hinzufügen. Wenn außerdem während des Betriebs der Import einer Reihe von Blöcken festgestellt wird, was zu einem Überlauf des lokalen Speichers (pubring.kbx) führt, aktiviert GnuPG automatisch den Modus zum Ignorieren digitaler Signaturen („Selbstsignaturen“), anstatt einen Fehler anzuzeigen -only,import-clean“).
Um Schlüssel mithilfe des Mechanismus zu aktualisieren (WKD) Option „--locate-external-key“ hinzugefügt, mit der der Zertifikatspeicher basierend auf verifizierten öffentlichen Schlüsseln neu erstellt werden kann. Bei der Ausführung der Operation „--auto-key-retrieve“ wird jetzt der WKD-Mechanismus gegenüber Schlüsselservern bevorzugt. Der Kern von WKD besteht darin, öffentliche Schlüssel mit einem Link zu der in der Postanschrift angegebenen Domain im Web zu platzieren. Zum Beispiel für die Adresse „[E-Mail geschützt] „Der Schlüssel kann über den Link „https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a“ heruntergeladen werden.
Source: opennet.ru