プロホスト > ブログ > インターネットニュース > 主要サーバーへの攻撃に対抗するための変更を加えた GnuPG 2.2.17 のリリース

主要サーバーへの攻撃に対抗するための変更を加えた GnuPG 2.2.17 のリリース

公開済み ツールキットのリリース GnuPG 2.2.17 (GNU Privacy Guard)、OpenPGP 標準と互換性があります (RFC-4880) と S/MIME をサポートしており、データ暗号化、電子署名、キー管理、公開キー ストアへのアクセスを操作するためのユーティリティを提供します。 GnuPG 2.2 ブランチは、新機能が継続的に追加される開発リリースとして位置付けられており、2.1 ブランチでは修正のみが許可されていることを思い出してください。

В новом выпуске предложены меры для противостояния атаке на серверы ключей, приводящей к зависанию GnuPG и невозможности дальнейшей работы до удаления проблемного сертификата из локального хранилища или пересоздания хранилища сертификатов на основе проверенных открытых ключей. Добавленная защита построена на полном игнорировании по умолчанию всех сторонних цифровых подписей сертификатов, полученных с серверов хранения ключей. Напомним, что любой пользователь может добавить на сервер хранения ключей свою цифровую подпись для произвольных сертификатов, что используется злоумышленниками для создания для сертификата жертвы огромного числа таких подписей (более сотни тысяч), обработка которых нарушает нормальную работу GnuPG.

Игнорирование сторонних цифровых подписей регулируются опцией «self-sigs-only», которая допускает загрузку для ключей только собственных подписей их создателей. Для восстановления старого поведения в gpg.conf может добавить настройку «keyserver-options no-self-sigs-only,no-import-clean». При этом если в процессе работы фиксируется импортирование числа блоков, которое вызовет переполнение локального хранилища (pubring.kbx), GnuPG вместо вывода ошибки автоматически включает режим игнорирования цифровых подписей («self-sigs-only,import-clean»).

Для обновления ключей c использованием механизма ウェブキーディレクトリ (WKD) добавлена опция «—locate-external-key», которую можно использовать для пересоздания хранилища сертификатов на основе проверенных открытых ключей. При выполнении операции «—auto-key-retrieve» механизм WKD теперь является более предпочтительным, чем серверы ключей. Суть работы WKD заключается в размещении открытых ключей в web c привязкой к домену, указанному в почтовом адресе. Например, для адреса «[メール保護]» ключ может быть загружен через ссылку «https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a».

出所: オープンネット.ru

コメントを追加します