lançamento do kit de ferramentas (GNU Privacy Guard), compatível com os padrões OpenPGP () e S/MIME, e fornece utilitários para criptografia de dados, trabalhando com assinaturas eletrônicas, gerenciamento de chaves e acesso a armazenamentos de chaves públicas. Como lembrete, a ramificação GnuPG 2.2 está posicionada como uma versão de desenvolvimento que continua adicionando novos recursos; a ramificação 2.1 permite apenas correções corretivas.
A nova edição propõe medidas para combater , levando ao congelamento do GnuPG e à incapacidade de continuar trabalhando até que o certificado problemático seja excluído do armazenamento local ou o armazenamento de certificados seja recriado com base em chaves públicas verificadas. A proteção adicional baseia-se em ignorar completamente, por padrão, todas as assinaturas digitais de certificados de terceiros recebidas de servidores de armazenamento de chaves. Lembremos que qualquer usuário pode adicionar sua própria assinatura digital para certificados arbitrários ao servidor de armazenamento de chaves, que é usado pelos invasores para criar um grande número dessas assinaturas (mais de cem mil) para o certificado da vítima, cujo processamento interrompe a operação normal do GnuPG.
Ignorar assinaturas digitais de terceiros é regulamentado pela opção “somente assinaturas automáticas”, que permite que apenas as assinaturas dos próprios criadores sejam carregadas para chaves. Para restaurar o comportamento antigo, você pode adicionar a configuração “keyserver-options no-self-sigs-only,no-import-clean” ao gpg.conf. Além disso, se durante a operação for detectada a importação de vários blocos, o que causará estouro do armazenamento local (pubring.kbx), ao invés de exibir um erro, o GnuPG ativa automaticamente o modo de ignorar assinaturas digitais (“self-sigs -apenas,importar limpo”).
Para atualizar chaves usando o mecanismo (WKD) Adicionada uma opção "--locate-external-key" que pode ser usada para recriar o armazenamento de certificados com base em chaves públicas verificadas. Ao executar a operação "--auto-key-retrieve", o mecanismo WKD agora é preferido aos servidores de chaves. A essência do WKD é colocar chaves públicas na web com um link para o domínio especificado no endereço postal. Por exemplo, para o endereço "[email protegido]"A chave pode ser baixada através do link" https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a ".
Fonte: opennet.ru