rilascio del toolkit (GNU Privacy Guard), compatibile con gli standard OpenPGP () e S/MIME e fornisce utilità per la crittografia dei dati, l'utilizzo delle firme elettroniche, la gestione delle chiavi e l'accesso agli archivi di chiavi pubbliche. Ricordiamo che il ramo GnuPG 2.2 è posizionato come una versione di sviluppo in cui continuano ad essere aggiunte nuove funzionalità; nel ramo 2.1 sono consentite solo correzioni correttive.
Il nuovo numero propone misure di contrasto , con conseguente sospensione di GnuPG e l'impossibilità di continuare a lavorare finché il certificato problematico non viene eliminato dall'archivio locale o l'archivio certificati viene ricreato in base a chiavi pubbliche verificate. La protezione aggiuntiva si basa sull'ignorare completamente, per impostazione predefinita, tutte le firme digitali di terze parti dei certificati ricevuti dai server di archiviazione delle chiavi. Ricordiamo che qualsiasi utente può aggiungere la propria firma digitale per certificati arbitrari al server di archiviazione delle chiavi, che viene utilizzato dagli aggressori per creare un numero enorme di tali firme (più di centomila) per il certificato della vittima, la cui elaborazione interrompe il normale funzionamento di GnuPG.
Ignorare le firme digitali di terze parti è regolato dall'opzione "self-sigs-only", che consente di caricare per le chiavi solo le firme dei creatori. Per ripristinare il vecchio comportamento, puoi aggiungere l'impostazione "keyserver-options no-self-sigs-only,no-import-clean" a gpg.conf. Inoltre, se durante il funzionamento viene rilevata l'importazione di un certo numero di blocchi, che causerà un overflow della memoria locale (pubring.kbx), invece di visualizzare un errore, GnuPG attiva automaticamente la modalità di ignorare le firme digitali (“self-sigs -solo,import-pulisci”).
Per aggiornare le chiavi utilizzando il meccanismo (WKD) Aggiunta un'opzione "--locate-external-key" che può essere utilizzata per ricreare l'archivio certificati in base alle chiavi pubbliche verificate. Quando si esegue l'operazione "--auto-key-retrieve", il meccanismo WKD è ora preferito rispetto ai key server. L'essenza di WKD è posizionare le chiavi pubbliche sul web con un collegamento al dominio specificato nell'indirizzo postale. Ad esempio, per l'indirizzo "[email protected]"La chiave può essere scaricata tramite il collegamento "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".
Fonte: opennet.ru