På grund af problemer relateret til nøglesignaturer ignoreres i OpenPGP, Blev OpenPGP-version frigivet (RFC-4880) og S / MIME der overholder GnuPG 2.2.17 standarder (GNU Privacy Guard), som leverer hjælpeprogrammer til datakryptering, elektroniske signaturer, nøglehåndtering og adgang til offentlige nøglebutikker.
Denne opdatering blev afledt siden i slutningen af juni nogle medlemmer af og tæt på OpenPGP-samfundet meddelte, at deres egne offentlige nøgler blev oversvømmet med mistænkelige underskrifter, når i nogle tilfælde mere end 150.000 på tidspunktet for offentliggørelsen af denne artikel, desuden synkroniseres alle disse signaturer mellem de fleste af de tilgængelige nøgleservere.
At have et stort antal signaturer på en offentlig nøgle bør derfor ikke påvirke protokollens funktion, men mange implementeringer og programmer, der bruger OpenPGP, er ikke designet til at håndtere mere end et par dusin signaturer pr. Offentlig nøgle, så når disse behandles oversvømmede nøgler tager lang tid eller endda hænger, hvilket gør OpenPGP ubrugelig, når du opdaterer, importerer eller bruger kompromitterede offentlige nøgler.
Dette problem er tidligere blevet rapporteret som en teoretisk sårbarhed som et resultat af designbeslutningen om at tillade enhver at underskrive andres offentlige nøgler. Denne "designfejl" blev aldrig rettet og var indtil nu ikke kompromitteret.
Den nye version af GnuPG ankommer for at løse problemet
Den nye version foreslår foranstaltninger til at imødegå angrebet på nøgleservere, hvilket får GnuPG til at hænge og undgå yderligere arbejde, indtil problemcertifikatet fjernes fra den lokale butik, eller certifikatlageret genskabes baseret på bekræftede offentlige nøgler.
Yderligere beskyttelse er baseret på den komplette standardomgåelse af alle digitale signaturer tredjepartscertifikater modtaget fra nøgleservere.
Det er vigtigt at huske, at enhver bruger kan tilføje deres digitale signatur til vilkårlige certifikater på keystore-serveren, som bruges af angribere til at oprette et stort antal sådanne signaturer (mere end hundrede tusind) til offerets certifikat, hvoraf behandlingen afbryder normal GnuPG-drift.
Ignorering af digitale signaturer fra tredjepart styres af indstillingen "kun auto-sigs-kun", som kun tillader, at deres skabere underskrives for nøglerne.
For at gendanne den gamle adfærd i gpg.conf kan du tilføje konfigurationen «keyserver-options no-self-sigs-only, no-import-clean".
På samme tid, hvis importen af antallet af blokke er løst i løbet af arbejdet, hvilket vil medføre et overløb af lokal opbevaring (pubring.kbx), GnuPG i stedet for at vise en fejl, aktiverer automatisk tilstanden til ignorering af signaturer digital ("auto-firs, import-clean").
For at opdatere nøglerne ved hjælp af WKD-mekanismen (Web Key Directory), er indstillingen "--locate-external-key', Som kan bruges til at genskabe et certifikatlager baseret på verificerede offentlige nøgler.
Med operationen «--auto-key-retrieve«, WKD-mekanismen foretrækkes nu frem for nøgleservere.
Essensen af WKD er at placere offentlige nøgler på nettet med et link til det domæne, der er angivet i e-mail-adressen.
For eksempel til adressen «test@example.com«, Nøglen kan downloades via linket«https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".
Hvordan installeres GnuPG 2.2.17 på Ubuntu og derivater?
I øjeblikket er den nye version af GnuPG 2.2.17 ikke tilgængelig i de officielle Ubuntu-arkiver, Derfor skal de, der foretrækker dette installationsmedium, vente på, at pakken opdateres, muligvis i løbet af denne uge, og pakken er tilgængelig.
For dem, der allerede har brug for at udføre opdateringen for at løse problemerne, skal de downloade kildekoden til GnuPG fra dets officielle hjemmeside, linket er dette.
Derefter bliver de nødt til at pakke den downloadede pakke ud og placere sig i en terminal i den resulterende mappe.
Du kan gøre dette ved at skrive den terminal, du åbnede:
tar xvzf gnupg-2.2.17.tar.bz2
Derefter kommer vi ind i mappen oprettet med:
cd gnupg-2.2.17
I terminalen skal de kun skrive følgende kommandoer:
./configure make make check make install