Prohoster > Blog > tin tức mạng > Phát hành GnuPG 2.2.17 với những thay đổi để chống lại cuộc tấn công vào các máy chủ chính

Phát hành GnuPG 2.2.17 với những thay đổi để chống lại cuộc tấn công vào các máy chủ chính

được phát hành phát hành bộ công cụ GnuPG 2.2.17 (GNU Privacy Guard), tương thích với các tiêu chuẩn OpenPGP (RFC-4880) và S/MIME, đồng thời cung cấp các tiện ích mã hóa dữ liệu, làm việc với chữ ký điện tử, quản lý khóa và truy cập vào kho khóa công khai. Hãy nhớ lại rằng nhánh GnuPG 2.2 được định vị là một bản phát hành phát triển trong đó các tính năng mới tiếp tục được thêm vào; chỉ cho phép sửa lỗi trong nhánh 2.1.

Vấn đề mới đề xuất các biện pháp chống lại tấn công vào các máy chủ quan trọng, dẫn đến việc GnuPG bị treo và không thể tiếp tục hoạt động cho đến khi chứng chỉ có vấn đề bị xóa khỏi kho lưu trữ cục bộ hoặc kho chứng chỉ được tạo lại dựa trên các khóa chung đã được xác minh. Tính năng bảo vệ bổ sung dựa trên việc bỏ qua hoàn toàn theo mặc định tất cả chữ ký số của bên thứ ba trong chứng chỉ nhận được từ các máy chủ lưu trữ chính. Chúng ta hãy nhớ lại rằng bất kỳ người dùng nào cũng có thể thêm chữ ký số của riêng mình cho các chứng chỉ tùy ý vào máy chủ lưu trữ khóa, được kẻ tấn công sử dụng để tạo ra một số lượng lớn các chữ ký như vậy (hơn một trăm nghìn) cho chứng chỉ của nạn nhân, quá trình xử lý chúng làm gián đoạn hoạt động bình thường của GnuPG.

Việc bỏ qua chữ ký số của bên thứ ba được quy định bởi tùy chọn “chỉ tự ký”, tùy chọn này chỉ cho phép tải chữ ký của chính người sáng tạo cho khóa. Để khôi phục hành vi cũ, bạn có thể thêm cài đặt “keyserver-options no-self-sigs-only,no-import-clean” vào gpg.conf. Hơn nữa, nếu trong quá trình hoạt động phát hiện nhập một số khối sẽ gây tràn bộ nhớ cục bộ (pubring.kbx), thay vì hiển thị lỗi, GnuPG sẽ tự động bật chế độ bỏ qua chữ ký số (“self-sigs”) -chỉ, nhập khẩu sạch”).

Để cập nhật khóa bằng cơ chế Thư mục khóa web (WKD) Đã thêm tùy chọn "--locate-external-key" có thể được sử dụng để tạo lại kho chứng chỉ dựa trên các khóa chung đã được xác minh. Khi thực hiện thao tác "--auto-key-retrieve", cơ chế WKD hiện được ưu tiên hơn các máy chủ chính. Bản chất của WKD là đặt các khóa công khai trên web với liên kết đến miền được chỉ định trong địa chỉ bưu chính. Ví dụ: đối với địa chỉ "[email được bảo vệ]"Có thể tải xuống khóa thông qua liên kết"https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".

Nguồn: opennet.ru

Thêm một lời nhận xét