ProHoster > Օրագիր > ինտերնետ նորություններ > GnuPG 2.2.17-ի թողարկում՝ առանցքային սերվերների վրա հարձակման դեմ ուղղված փոփոխություններով

GnuPG 2.2.17-ի թողարկում՝ առանցքային սերվերների վրա հարձակման դեմ ուղղված փոփոխություններով

հրապարակված գործիքակազմի թողարկում GnuPG 2.2.17 (GNU Privacy Guard), համատեղելի OpenPGP ստանդարտների հետ (RFC-4880) և S/MIME, և տրամադրում է կոմունալ ծառայություններ տվյալների կոդավորման, էլեկտրոնային ստորագրությունների հետ աշխատելու, բանալիների կառավարման և հանրային բանալիների խանութների հասանելիության համար: Հիշեցնենք, որ GnuPG 2.2 մասնաճյուղը տեղակայված է որպես զարգացման թողարկում, որում շարունակում են ավելացվել նոր հնարավորություններ. 2.1 մասնաճյուղում թույլատրվում են միայն ուղղիչ ուղղումներ:

Նոր համարում առաջարկվում են հակազդելու միջոցներ հարձակում հիմնական սերվերների վրա, ինչը հանգեցնում է GnuPG-ի կախմանը և աշխատանքը շարունակելու անկարողությանը, մինչև խնդրահարույց վկայականը չջնջվի տեղական խանութից կամ վկայականների պահեստը չստեղծվի՝ հիմնվելով հաստատված հանրային բանալիների վրա: Ավելացված պաշտպանությունը հիմնված է հիմնական պահպանման սերվերներից ստացված վկայագրերի երրորդ կողմի թվային ստորագրությունների լրիվ անտեսման վրա: Հիշեցնենք, որ ցանկացած օգտատեր կարող է կամայական վկայագրերի համար սեփական թվային ստորագրությունը ավելացնել բանալիների պահպանման սերվերին, որն օգտագործում են հարձակվողները զոհի վկայականի համար հսկայական թվով նման ստորագրություններ ստեղծելու համար (ավելի քան հարյուր հազար), որոնց մշակումը: խախտում է GnuPG-ի բնականոն աշխատանքը:

Երրորդ կողմի թվային ստորագրությունների անտեսումը կարգավորվում է «self-sigs-only» տարբերակով, որը թույլ է տալիս միայն ստեղծողների սեփական ստորագրությունները բեռնել բանալիների համար: Հին պահվածքը վերականգնելու համար կարող եք gpg.conf-ին ավելացնել «keyserver-options no-self-sigs-only,no-import-clean» պարամետրը: Ավելին, եթե շահագործման ընթացքում հայտնաբերվի մի շարք բլոկների ներմուծում, ինչը կառաջացնի տեղական պահեստի արտահոսք (pubring.kbx), սխալ ցուցադրելու փոխարեն, GnuPG-ն ավտոմատ կերպով միացնում է թվային ստորագրությունների անտեսման ռեժիմը («self-sigs». -միայն, ներմուծում-մաքուր»):

Մեխանիզմի միջոցով ստեղները թարմացնելու համար Վեբ բանալիների տեղեկատու (WKD) Ավելացրել է «--տեղորոշել-արտաքին բանալին» տարբերակ, որը կարող է օգտագործվել հաստատված հանրային բանալիների հիման վրա վկայագրերի պահեստը վերստեղծելու համար: «--auto-key-retrieve» օպերացիան կատարելիս WKD մեխանիզմն այժմ գերադասելի է հիմնական սերվերներից: WKD-ի էությունը կայանում է նրանում, որ համացանցում հանրային բանալիներ տեղադրի փոստային հասցեում նշված տիրույթի հղումով: Օրինակ, հասցեի համար «[էլեկտրոնային փոստով պաշտպանված]«Բանալին կարելի է ներբեռնել «https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a» հղման միջոցով։

Source: opennet.ru

Добавить комментарий