toolkit-uitgave (GNU Privacy Guard), compatibel met OpenPGP-standaarden () en S/MIME, en biedt hulpprogramma's voor gegevensversleuteling, het werken met elektronische handtekeningen, sleutelbeheer en toegang tot openbare sleutelopslagplaatsen. Ter herinnering: de GnuPG 2.2-branch is gepositioneerd als een ontwikkelingsrelease die nieuwe functies blijft toevoegen; de 2.1-branch staat alleen correcties toe.
In de nieuwe kwestie worden maatregelen voorgesteld om dit tegen te gaan , waardoor GnuPG blijft hangen en niet verder kan werken totdat het problematische certificaat uit de lokale opslag wordt verwijderd of de certificaatopslag opnieuw wordt gemaakt op basis van geverifieerde openbare sleutels. De extra bescherming is gebaseerd op het standaard volledig negeren van alle digitale handtekeningen van derden van certificaten die worden ontvangen van sleutelopslagservers. Laten we niet vergeten dat elke gebruiker zijn eigen digitale handtekening voor willekeurige certificaten kan toevoegen aan de sleutelopslagserver, die door aanvallers wordt gebruikt om een groot aantal van dergelijke handtekeningen (meer dan honderdduizend) te creëren voor het certificaat van het slachtoffer, waarvan de verwerking verstoort de normale werking van GnuPG.
Het negeren van digitale handtekeningen van derden wordt geregeld door de ‘self-sigs-only’-optie, waarmee alleen de eigen handtekeningen van de makers als sleutels kunnen worden geladen. Om het oude gedrag te herstellen, kunt u de instelling “keyserver-options no-self-sigs-only,no-import-clean” toevoegen aan gpg.conf. Bovendien, als tijdens de werking de import van een aantal blokken wordt gedetecteerd, wat een overflow van de lokale opslag (pubring.kbx) zal veroorzaken, in plaats van een fout weer te geven, schakelt GnuPG automatisch de modus in van het negeren van digitale handtekeningen (“self-sigs -alleen,import-schoon”).
Om sleutels bij te werken met behulp van het mechanisme (WKD) Een optie "--locate-external-key" toegevoegd die kan worden gebruikt om het certificaatarchief opnieuw te maken op basis van geverifieerde openbare sleutels. Bij het uitvoeren van de bewerking "--auto-key-retrieve" heeft het WKD-mechanisme nu de voorkeur boven sleutelservers. De essentie van WKD is om publieke sleutels op internet te plaatsen met een link naar het domein dat in het postadres is opgegeven. Bijvoorbeeld voor het adres "[e-mail beveiligd]"De sleutel is te downloaden via de link "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".
Bron: opennet.ru