реліз інструментарію (GNU Privacy Guard), сумісного із стандартами OpenPGP () і S/MIME, і надає утиліти для шифрування даних, роботи з електронними підписами, управління ключами та доступу до публічних сховищ ключів. Нагадаємо, що гілка GnuPG 2.2 позиціонується як випуск, що розвивається, в якому продовжують додаватися нові можливості, у гілці 2.1 допускаються тільки коригувальні виправлення.
У новому випуску запропоновано заходи для протистояння , що призводить до зависання GnuPG та неможливості подальшої роботи до видалення проблемного сертифіката з локального сховища або перестворення сховища сертифікатів на основі перевірених відкритих ключів. Доданий захист побудований на повному ігноруванні за замовчуванням всіх цифрових підписів сертифікатів, отриманих з серверів зберігання ключів. Нагадаємо, що будь-який користувач може додати на сервер зберігання ключів свій цифровий підпис для довільних сертифікатів, що використовується зловмисниками для створення для сертифіката жертви величезної кількості таких підписів (більше сотні тисяч), обробка яких порушує нормальну роботу GnuPG.
Ігнорування сторонніх цифрових підписів регулюється опцією "self-sigs-only", яка дозволяє завантаження для ключів лише власних підписів їхніх творців. Для відновлення старої поведінки gpg.conf може додати налаштування «keyserver-options no-self-sigs-only,no-import-clean». При цьому, якщо в процесі роботи фіксується імпортування числа блоків, яке викликає переповнення локального сховища (pubring.kbx), GnuPG замість виведення помилки автоматично включає режим ігнорування цифрових підписів (self-sigs-only,import-clean).
Для оновлення ключів з використанням механізму (WKD) додано опцію «—locate-external-key», яку можна використовувати для перестворення сховища сертифікатів на основі перевірених відкритих ключів. При виконанні операції «—auto-key-retrieve» механізм WKD тепер є кращим, ніж сервери ключів. Суть роботи WKD полягає у розміщенні відкритих ключів у web c прив'язкою до домену, вказаному на поштовій адресі. Наприклад, для адреси «[захищено електронною поштою]ключ може бути завантажений через посилання "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".
Джерело: opennet.ru