ツールキットのリリース (GNU Privacy Guard)、OpenPGP 標準と互換性があります () と S/MIME をサポートしており、データ暗号化、電子署名、キー管理、公開キー ストアへのアクセスを操作するためのユーティリティを提供します。 GnuPG 2.2 ブランチは、新機能が継続的に追加される開発リリースとして位置付けられており、2.1 ブランチでは修正のみが許可されていることを思い出してください。
新刊では対抗策を提案 そのため、GnuPG がハングし、問題のある証明書がローカル ストアから削除されるか、検証された公開キーに基づいて証明書ストアが再作成されるまで、動作を続行できなくなります。追加された保護は、キー ストレージ サーバーから受信した証明書のサードパーティのデジタル署名をデフォルトで完全に無視することに基づいています。すべてのユーザーが任意の証明書に対する自分のデジタル署名をキー ストレージ サーバーに追加できることを思い出してください。攻撃者はこのサーバーを使用して、被害者の証明書に対してそのような署名を膨大な数 (10 万以上) 作成し、その処理を行います。 GnuPG の通常の動作を中断します。
サードパーティのデジタル署名の無視は、作成者自身の署名のみをキーにロードできるようにする「自己署名のみ」オプションによって規制されています。以前の動作を復元するには、「keyserver-options no-self-sigs-only,no-import-clean」設定を gpg.conf に追加します。さらに、操作中にローカル ストレージ (pubring.kbx) のオーバーフローを引き起こす多数のブロックのインポートが検出された場合、GnuPG はエラーを表示する代わりに、デジタル署名 (「セルフ署名」) を無視するモードを自動的にオンにします。 -のみ、インポート-クリーン」)。
メカニズムを使用してキーを更新するには (WKD) 検証された公開キーに基づいて証明書ストアを再作成するために使用できる「--locate-external-key」オプションが追加されました。 「--auto-key-retrieve」操作を実行する場合、キー サーバーよりも WKD メカニズムが優先されるようになりました。 WKD の本質は、郵便アドレスで指定されたドメインへのリンクとともに公開キーを Web 上に配置することです。たとえば、アドレスの場合、「[メール保護]「キーはリンク「https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a」からダウンロードできます。
出所: オープンネット.ru