wydanie zestawu narzędzi (GNU Privacy Guard), kompatybilny ze standardami OpenPGP () i S/MIME oraz zapewnia narzędzia do szyfrowania danych, pracy z podpisami elektronicznymi, zarządzania kluczami i dostępu do magazynów kluczy publicznych. Przypomnijmy, że gałąź GnuPG 2.2 jest pozycjonowana jako wersja rozwojowa, w której nadal dodawane są nowe funkcje; w gałęzi 2.1 dozwolone są tylko poprawki korygujące.
W nowym numerze zaproponowano środki przeciwdziałające , co prowadzi do zawieszenia GnuPG i braku możliwości dalszej pracy do czasu usunięcia problematycznego certyfikatu z lokalnego magazynu lub odtworzenia bazy certyfikatów w oparciu o zweryfikowane klucze publiczne. Dodatkowa ochrona polega na całkowitym ignorowaniu wszystkich podpisów cyfrowych certyfikatów innych firm otrzymanych z serwerów magazynu kluczy. Przypomnijmy, że każdy użytkownik może dodać swój własny podpis cyfrowy dla dowolnych certyfikatów do serwera magazynu kluczy, który służy atakującym do tworzenia ogromnej liczby takich podpisów (ponad sto tysięcy) dla certyfikatu ofiary, których przetworzenie zakłóca normalne działanie GnuPG.
Ignorowanie podpisów cyfrowych innych firm reguluje opcja „tylko do samodzielnego podpisu”, która pozwala na wczytanie do kluczy wyłącznie własnych podpisów twórców. Aby przywrócić stare zachowanie, możesz dodać ustawienie „keyserver-options no-self-sigs-only,no-import-clean” do pliku gpg.conf. Co więcej, jeśli podczas operacji zostanie wykryty import pewnej liczby bloków, co spowoduje przepełnienie pamięci lokalnej (pubring.kbx), zamiast wyświetlić błąd, GnuPG automatycznie włącza tryb ignorowania podpisów cyfrowych („samopodpisy -tylko, import-czysty”).
Aby zaktualizować klucze za pomocą mechanizmu (WKD) Dodano opcję „--locate-external-key”, której można użyć do odtworzenia bazy certyfikatów w oparciu o zweryfikowane klucze publiczne. Podczas wykonywania operacji „--auto-key-retrieve” preferowany jest teraz mechanizm WKD w stosunku do serwerów kluczy. Istotą WKD jest umieszczanie w sieci kluczy publicznych zawierających link do domeny określonej w adresie pocztowym. Na przykład dla adresu „[email chroniony]„Klucz można pobrać poprzez link „https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a”.
Źródło: opennet.ru