پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > GnuPG 2.2.17 ریلیز کی تبدیلیوں کے ساتھ کی سرورز پر حملے کا مقابلہ کرنے کے لیے

GnuPG 2.2.17 ریلیز کی تبدیلیوں کے ساتھ کی سرورز پر حملے کا مقابلہ کرنے کے لیے

شائع ہوا ٹول کٹ کی رہائی GnuPG 2.2.17۔ (GNU پرائیویسی گارڈ)، OpenPGP معیارات کے ساتھ ہم آہنگ (آر ایف سی -4880) اور S/MIME، اور ڈیٹا انکرپشن، الیکٹرانک دستخطوں کے ساتھ کام کرنے، کلیدی انتظام اور عوامی کلیدی اسٹورز تک رسائی کے لیے افادیت فراہم کرتا ہے۔ یاد رکھیں کہ GnuPG 2.2 برانچ ایک ڈویلپمنٹ ریلیز کے طور پر رکھی گئی ہے جس میں نئی ​​خصوصیات شامل ہوتی رہتی ہیں؛ 2.1 برانچ میں صرف اصلاحی اصلاحات کی اجازت ہے۔

نیا مسئلہ انسداد کے لیے اقدامات تجویز کرتا ہے۔ کلیدی سرورز پر حملہ، جس کی وجہ سے GnuPG ہینگ ہو جاتا ہے اور اس وقت تک کام جاری رکھنے سے قاصر رہتا ہے جب تک کہ مقامی اسٹور سے مسئلہ سرٹیفکیٹ کو حذف نہیں کیا جاتا یا تصدیق شدہ عوامی کلیدوں کی بنیاد پر سرٹیفکیٹ اسٹور کو دوبارہ نہیں بنایا جاتا۔ اضافی تحفظ کلیدی سٹوریج سرورز سے موصول ہونے والے سرٹیفکیٹس کے تمام تھرڈ پارٹی ڈیجیٹل دستخطوں کو بطور ڈیفالٹ نظر انداز کرنے پر مبنی ہے۔ یاد رہے کہ کوئی بھی صارف کلیدی سٹوریج سرور میں من مانی سرٹیفکیٹس کے لیے اپنا ڈیجیٹل دستخط شامل کر سکتا ہے، جسے حملہ آور متاثرین کے سرٹیفکیٹ کے لیے اس طرح کے دستخطوں کی ایک بڑی تعداد (ایک لاکھ سے زیادہ) بنانے کے لیے استعمال کرتے ہیں، جس کی کارروائی GnuPG کے نارمل آپریشن میں خلل ڈالتا ہے۔

فریق ثالث کے ڈیجیٹل دستخطوں کو نظر انداز کرنا "صرف سیلف سائنز" آپشن کے ذریعے منظم کیا جاتا ہے، جو صرف تخلیق کاروں کے اپنے دستخطوں کو چابیاں کے لیے لوڈ کرنے کی اجازت دیتا ہے۔ پرانے رویے کو بحال کرنے کے لیے، آپ gpg.conf میں "keyserver-options no-self-sigs-only,no-import-clean" سیٹنگ شامل کر سکتے ہیں۔ مزید برآں، اگر آپریشن کے دوران متعدد بلاکس کی درآمد کا پتہ چلا، جو مقامی اسٹوریج (pubring.kbx) کے اوور فلو کا سبب بنے گا، غلطی ظاہر کرنے کے بجائے، GnuPG ڈیجیٹل دستخطوں کو نظر انداز کرنے کے موڈ کو خود بخود آن کر دیتا ہے ("self-sigs) -صرف، درآمد صاف")۔

میکانزم کا استعمال کرتے ہوئے چابیاں اپ ڈیٹ کرنے کے لیے ویب کلیدی ڈائرکٹری (WKD) نے ایک "-locate-external-key" اختیار شامل کیا جو تصدیق شدہ عوامی کلیدوں کی بنیاد پر سرٹیفکیٹ اسٹور کو دوبارہ بنانے کے لیے استعمال کیا جا سکتا ہے۔ "--auto-key-retrieve" آپریشن کو انجام دیتے وقت، WKD میکانزم کو اب کلیدی سرورز پر ترجیح دی جاتی ہے۔ WKD کا جوہر یہ ہے کہ ویب پر پبلک کیز کو پوسٹل ایڈریس میں مخصوص ڈومین کے لنک کے ساتھ رکھنا ہے۔ مثال کے طور پر، ایڈریس کے لیے "[ای میل محفوظ]کلید کو لنک کے ذریعے ڈاؤن لوڈ کیا جا سکتا ہے "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a"۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں