بسبب المشكلات المتعلقة بالتوقيعات الرئيسية التي يتم تجاهلها في OpenPGP، صدر إصدار OpenPGP (RFC-4880) و S / MIME متوافق مع معايير GnuPG 2.2.17 (GNU Privacy Guard) ، الذي يوفر أدوات مساعدة لتشفير البيانات والتوقيعات الإلكترونية وإدارة المفاتيح والوصول إلى مخازن المفاتيح العامة.
تم اشتقاق هذا التحديث منذ نهاية يونيو أعلن بعض أعضاء مجتمع OpenPGP والمقربين منه أن مفاتيحهم العامة تم إغراقها بالتوقيعات المشبوهة، في بعض الحالات تصل إلى أكثر من 150.000 وقت نشر هذا المقال ، بالإضافة إلى أن جميع هذه التوقيعات تتم مزامنتها بين معظم الخوادم الرئيسية المتاحة.
على هذا النحو ، لا ينبغي أن يؤثر وجود عدد كبير من التوقيعات على مفتاح عام على تشغيل البروتوكول ، ومع ذلك ، فإن العديد من التطبيقات والبرامج التي تستخدم OpenPGP ليست مصممة للتعامل مع أكثر من بضع عشرات من التوقيعات لكل مفتاح عام ، لذلك عند معالجة هذه تستغرق المفاتيح المغمورة وقتًا طويلاً أو حتى تتعطل ، مما يجعل OpenPGP غير قابل للاستخدام عند التحديث أو الاستيراد أو استخدام المفاتيح العامة المخترقة.
تم الإبلاغ عن هذه المشكلة في الماضي باعتبارها ثغرة أمنية نتيجة لقرار التصميم بالسماح لأي شخص بتوقيع المفاتيح العامة لأشخاص آخرين. لم يتم تصحيح "عيب التصميم" هذا ولم يتم المساس به حتى الآن.
يصل الإصدار الجديد من GnuPG لحل المشكلة
الإصدار الجديد يقترح تدابير لمواجهة الهجوم على الخوادم الرئيسية، مما يتسبب في توقف GnuPG وتجنب المزيد من العمل حتى تتم إزالة شهادة المشكلة من المتجر المحلي أو إعادة إنشاء مخزن الشهادات استنادًا إلى المفاتيح العامة التي تم التحقق منها.
تعتمد الحماية الإضافية على التجاوز الافتراضي الكامل لجميع التوقيعات الرقمية تم استلام شهادات الجهات الخارجية من خوادم تخزين المفاتيح.
من المهم أن تتذكر أنه يمكن لأي مستخدم إضافة توقيعه الرقمي إلى الشهادات التعسفية على خادم keystore ، والذي يستخدمه المهاجمون لإنشاء عدد كبير من هذه التوقيعات (أكثر من مائة ألف) لشهادة الضحية ، والتي تقاطع المعالجة منها عملية GnuPG العادية.
إن تجاهل التوقيعات الرقمية للأطراف الثالثة محكوم بخيار "auto-sigs-only" ، والذي يسمح فقط بتحميل توقيعات المبدعين للمفاتيح.
لاستعادة السلوك القديم في gpg.conf ، يمكنك إضافة التكوين «keyserver-options no-self-sigs-only, no-import-clean".
في الوقت نفسه ، إذا تم إصلاح استيراد عدد الكتل أثناء العمل ، مما سيؤدي إلى تجاوز سعة التخزين المحلية (pubring.kbx) ، يقوم GnuPG بدلاً من إظهار خطأ ، بتنشيط وضع تجاهل التوقيعات تلقائيًا رقمي ("auto-firs، import-clean").
لتحديث المفاتيح باستخدام آلية دليل الويب (WKD) ، فإن الخيار "--locate-external-key، والتي يمكن استخدامها لإعادة إنشاء مخزن شهادات استنادًا إلى المفاتيح العامة التي تم التحقق منها.
مع العملية «--auto-key-retrieve«، تُفضل آلية WKD الآن على الخوادم الرئيسية.
يتمثل جوهر WKD في وضع مفاتيح عامة على الويب مع ارتباط إلى المجال المحدد في عنوان البريد الإلكتروني.
على سبيل المثال ، بالنسبة للعنوان «test@example.com«، يمكن تحميل المفتاح من خلال الرابط«https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".
كيفية تثبيت GnuPG 2.2.17 على Ubuntu ومشتقاته؟
حاليًا الإصدار الجديد من GnuPG 2.2.17 غير متوفر في مستودعات Ubuntu الرسمية ، لذلك ، بالنسبة لأولئك الذين يفضلون وسيط التثبيت هذا ، سيتعين عليهم انتظار تحديث الحزمة ، ربما خلال هذا الأسبوع وتكون الحزمة متاحة.
بالنسبة لأولئك الذين يحتاجون بالفعل إلى إجراء التحديث لحل المشكلات ، يجب عليهم تنزيل الكود المصدري لـ GnuPG من موقعه الرسمي على الويب ، الرابط هو هذا.
بعد ذلك سيتعين عليهم فك ضغط الحزمة التي تم تنزيلها ووضع أنفسهم في محطة طرفية داخل المجلد الناتج.
يمكنك القيام بذلك عن طريق كتابة الجهاز الذي فتحته:
tar xvzf gnupg-2.2.17.tar.bz2
بعد ذلك سندخل إلى المجلد الذي تم إنشاؤه باستخدام:
cd gnupg-2.2.17
في المحطة ، سيتعين عليهم فقط كتابة الأوامر التالية:
./configure make make check make install