工具包发布 (GNU 隐私卫士),兼容 OpenPGP 标准()和 S/MIME,并提供数据加密、电子签名、密钥管理和访问公钥存储的实用程序。 回想一下,GnuPG 2.2 分支被定位为开发版本,其中不断添加新功能;2.1 分支中只允许进行纠正性修复。
新一期提出了应对措施 ,导致 GnuPG 挂起并无法继续工作,直到从本地存储中删除有问题的证书或根据经过验证的公钥重新创建证书存储。 增加的保护基于默认情况下完全忽略从密钥存储服务器接收的证书的所有第三方数字签名。 让我们回想一下,任何用户都可以将自己对任意证书的数字签名添加到密钥存储服务器中,攻击者利用该服务器为受害者的证书创建大量(超过十万个)此类签名,并对其进行处理扰乱 GnuPG 的正常运行。
忽略第三方数字签名受“仅自签名”选项的约束,该选项仅允许加载创建者自己的签名作为密钥。 要恢复旧的行为,您可以将“keyserver-options no-self-sigs-only,no-import-clean”设置添加到 gpg.conf。 而且,如果在运行过程中检测到导入了多个块,导致本地存储(pubring.kbx)溢出,GnuPG 不会显示错误,而是自动开启忽略数字签名模式(“self-sigs”) -仅,导入干净”)。
使用该机制更新密钥 (WKD) 添加了“--locate-external-key”选项,可用于根据经过验证的公钥重新创建证书存储。 当执行“--auto-key-retrieve”操作时,WKD 机制现在优先于密钥服务器。 WKD 的本质是将公钥放置在网络上,并带有指向邮政地址中指定域的链接。 例如,对于地址“[电子邮件保护]“可以通过链接“https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a”下载密钥。
来源: opennet.ru