工具包發布 (GNU 隱私衛士),相容於 OpenPGP 標準()和 S/MIME,並提供資料加密、電子簽章、金鑰管理和存取公鑰儲存的實用程式。 回想一下,GnuPG 2.2 分支被定位為開發版本,其中不斷添加新功能;2.1 分支中只允許進行修正性修復。
新一期提出了應對措施 ,導致 GnuPG 掛起並無法繼續工作,直到從本地儲存中刪除有問題的憑證或根據經過驗證的公鑰重新建立憑證儲存。 增加的保護基於預設完全忽略從金鑰儲存伺服器接收的憑證的所有第三方數位簽章。 讓我們回想一下,任何用戶都可以將自己對任意證書的數位簽名添加到密鑰存儲伺服器中,攻擊者利用該伺服器為受害者的證書創建大量(超過十萬個)此類簽名,並對其進行處理擾亂 GnuPG 的正常運作。
忽略第三方數位簽章受「僅自簽章」選項的約束,該選項僅允許載入建立者自己的簽章作為金鑰。 要恢復舊的行為,您可以將「keyserver-options no-self-sigs-only,no-import-clean」設定新增至 gpg.conf。 而且,如果在運行過程中檢測到導入了多個區塊,導致本地儲存(pubring.kbx)溢出,GnuPG 不會顯示錯誤,而是自動開啟忽略數位簽章模式(“self-sigs”) -僅,導入乾淨”)。
使用該機制更新金鑰 (WKD) 新增了「--locate-external-key」選項,可用於根據經過驗證的公鑰重新建立憑證儲存。 當執行「--auto-key-retrieve」操作時,WKD 機制現在優先於金鑰伺服器。 WKD 的本質是將公鑰放置在網路上,並帶有指向郵政地址中指定網域的連結。 例如,對於地址“[電子郵件保護]「可以透過連結「https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a」下載金鑰。
來源: opennet.ru