version de la boîte à outils (GNU Privacy Guard), compatible avec les standards OpenPGP () et S/MIME, et fournit des utilitaires pour le cryptage des données, travaillant avec les signatures électroniques, la gestion des clés et l'accès aux magasins de clés publiques. Rappelons que la branche GnuPG 2.2 se positionne comme une version de développement dans laquelle de nouvelles fonctionnalités continuent d'être ajoutées ; seuls les correctifs sont autorisés dans la branche 2.1.
Le nouveau numéro propose des mesures pour contrer , entraînant le blocage de GnuPG et l'incapacité de continuer à travailler jusqu'à ce que le certificat problématique soit supprimé du magasin local ou que le magasin de certificats soit recréé sur la base de clés publiques vérifiées. La protection supplémentaire repose sur l'ignorance complète par défaut de toutes les signatures numériques tierces des certificats reçus des serveurs de stockage de clés. Rappelons que n'importe quel utilisateur peut ajouter sa propre signature numérique pour des certificats arbitraires au serveur de stockage de clés, qui est utilisé par les attaquants pour créer un grand nombre de ces signatures (plus de cent mille) pour le certificat de la victime, dont le traitement perturbe le fonctionnement normal de GnuPG.
L’ignorance des signatures numériques tierces est réglementée par l’option « auto-signature uniquement », qui permet de charger uniquement les propres signatures des créateurs pour les clés. Pour restaurer l'ancien comportement, vous pouvez ajouter le paramètre « keyserver-options no-self-sigs-only,no-import-clean » à gpg.conf. De plus, si pendant le fonctionnement l'importation d'un certain nombre de blocs est détectée, ce qui provoquera un débordement du stockage local (pubring.kbx), au lieu d'afficher une erreur, GnuPG active automatiquement le mode d'ignorance des signatures numériques (« self-sigs -seulement, import-clean »).
Pour mettre à jour les clés à l'aide du mécanisme (WKD) Ajout d'une option « --locate-external-key » qui peut être utilisée pour recréer le magasin de certificats en fonction des clés publiques vérifiées. Lors de l'exécution de l'opération "--auto-key-retrieve", le mécanisme WKD est désormais préféré aux serveurs de clés. L'essence de WKD est de placer des clés publiques sur le Web avec un lien vers le domaine spécifié dans l'adresse postale. Par exemple, pour l'adresse "[email protected]"La clé peut être téléchargée via le lien "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".
Source: opennet.ru