lanzamiento del kit de herramientas (GNU Privacy Guard), compatible con los estándares OpenPGP () y S/MIME, y proporciona utilidades para el cifrado de datos, trabajo con firmas electrónicas, gestión de claves y acceso a almacenes de claves públicas. Recuerde que la rama GnuPG 2.2 se posiciona como una versión de desarrollo en la que se continúan agregando nuevas características; solo se permiten correcciones correctivas en la rama 2.1.
El nuevo número propone medidas para contrarrestar , lo que hace que GnuPG se cuelgue y no pueda continuar funcionando hasta que el certificado problemático se elimine del almacén local o se vuelva a crear el almacén de certificados en función de las claves públicas verificadas. La protección adicional se basa en ignorar completamente de forma predeterminada todas las firmas digitales de certificados de terceros recibidas de los servidores de almacenamiento de claves. Recordemos que cualquier usuario puede agregar su propia firma digital para certificados arbitrarios al servidor de almacenamiento de claves, que es utilizado por los atacantes para crear una gran cantidad de dichas firmas (más de cien mil) para el certificado de la víctima, cuyo procesamiento interrumpe el funcionamiento normal de GnuPG.
Ignorar las firmas digitales de terceros está regulado por la opción "self-sigs-only", que permite que solo se carguen las firmas propias de los creadores para las claves. Para restaurar el comportamiento anterior, puede agregar la configuración “keyserver-options no-self-sigs-only,no-import-clean” a gpg.conf. Además, si durante el funcionamiento se detecta la importación de varios bloques, lo que provocará un desbordamiento del almacenamiento local (pubring.kbx), en lugar de mostrar un error, GnuPG activa automáticamente el modo de ignorar firmas digitales ("self-sigs"). -solo,importar-limpio”).
Para actualizar claves usando el mecanismo (WKD) Se agregó una opción "--locate-external-key" que se puede usar para recrear el almacén de certificados en función de claves públicas verificadas. Al realizar la operación "--auto-key-retrieve", ahora se prefiere el mecanismo WKD a los servidores de claves. La esencia de WKD es colocar claves públicas en la web con un enlace al dominio especificado en la dirección postal. Por ejemplo, para la dirección "[email protected]"La clave se puede descargar a través del enlace "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".
Fuente: opennet.ru