Пусната версия 2.2.17 на GnuPG с решения за проблеми с OpenPGP

GnuPG

Поради проблеми, свързани с игнорирането на ключови подписи в OpenPGP, Пусната е версия на OpenPGP (RFC-4880) и S / MIME който отговаря на стандартите на GnuPG 2.2.17 (GNU Privacy Guard), която предоставя помощни програми за криптиране на данни, електронни подписи, управление на ключове и достъп до хранилищата с публични ключове.

Тази актуализация е получена тъй като в края на юни някои членове на и близки до общността на OpenPGP обявиха, че техните собствени публични ключове са залети със съмнителни подписи, в някои случаи достигащи над 150.000 XNUMX към момента на публикуване на тази статия, освен това всички тези подписи се синхронизират между повечето от наличните ключови сървъри.

Като такъв, наличието на голям брой подписи на публичен ключ не би трябвало да влияе върху работата на протокола, но много изпълнения и програми, които използват OpenPGP, не са проектирани да обработват повече от няколко дузини подписи на публичен ключ, така че при обработката им наводнените ключове отнемат много време или дори увисват, което прави OpenPGP неизползваем при актуализиране, импортиране или използване на компрометирани публични ключове.

Този проблем е докладван в миналото като теоретична уязвимост в резултат на решението за проектиране да позволи на всеки да подпише публичните ключове на други хора. Този "дизайнерски недостатък" никога не е бил коригиран и досега не е бил компрометиран.

Пристига новата версия на GnuPG, за да реши проблема

Новата версия предлага мерки за противодействие на атаката срещу ключови сървъри, което кара GnuPG да виси и да избягва по-нататъшна работа, докато проблемният сертификат не бъде премахнат от локалното хранилище или не бъде пресъздаден на базата на проверени публични ключове.

Допълнителната защита се основава на пълния байпас по подразбиране на всички цифрови подписи сертификати на трети страни, получени от сървъри за съхранение на ключове.

Важно е да запомните, че всеки потребител може да добави своя цифров подпис към произволни сертификати на сървъра на хранилището на ключове, който се използва от нападателите за създаване на голям брой такива подписи (повече от сто хиляди) за сертификата на жертвата, от които обработката прекъсва нормална работа на GnuPG.

Игнорирането на цифровите подписи на трети страни се управлява от опцията „само за автоматично подписване“, която позволява да се зареждат само подписите на техните създатели за ключовете.

За да възстановите старото поведение в gpg.conf, можете да добавите конфигурацията «keyserver-options no-self-sigs-only, no-import-clean".

В същото време, ако в хода на работата импортирането на броя на блоковете е фиксирано, което ще доведе до препълване на локалното хранилище (pubring.kbx), GnuPG вместо да показва грешка, автоматично активира режима на игнориране подписите са цифрови („auto-firs, import-clean“).

За да актуализирате ключове с помощта на механизма Web Key Directory (WKD), опцията '--locate-external-key', Което може да се използва за повторно създаване на хранилище на сертификати въз основа на проверени публични ключове.

С операцията «--auto-key-retrieve«, Механизмът WKD сега е предпочитан пред ключови сървъри.

Същността на WKD е да се поставят публични ключове в мрежата с връзка към домейна, посочен в имейл адреса.

Например за адреса «test@example.com«, Ключът може да бъде изтеглен чрез връзката«https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".

Как да инсталирам GnuPG 2.2.17 на Ubuntu и деривати?

В момента новата версия на GnuPG 2.2.17 не се предлага в официалните хранилища на Ubuntu, Следователно за тези, които предпочитат този инсталационен носител, те ще трябва да изчакат актуализацията на пакета, евентуално по време на тази седмица и пакетът е наличен.

За тези, които вече трябва да извършат актуализацията, за да разрешат проблемите, те трябва да изтеглят изходния код на GnuPG от официалния му уебсайт, връзката е тази.

След това ще трябва да разархивират изтегления пакет и да се позиционират в терминал в получената папка.

Можете да направите това, като напишете в отворения терминал:

tar xvzf gnupg-2.2.17.tar.bz2

След това ще влезем в папката, създадена с:

cd gnupg-2.2.17

В терминала ще трябва само да въведете следните команди:

./configure

make

make check

make install

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.