OpenPGP-s eiratud võtmeallkirjadega seotud probleemide tõttu, OpenPGP versioon anti välja (RFC-4880) ja S / MIME mis vastab GnuPG 2.2.17 standarditele (GNU Privacy Guard), mis pakub utiliite andmete krüptimiseks, elektroonilisteks allkirjadeks, võtmete haldamiseks ja juurdepääsuks avalike võtmete poodidele.
See värskendus tuletati alates juuni lõpust Mõned OpenPGP kogukonna liikmed ja lähedased teatasid, et nende endi avalikke võtmeid ujutatakse üle kahtlaste allkirjadega, mõnel juhul jõudis see artikkel avaldamise ajal enam kui 150.000 XNUMX-ni, lisaks sünkroonitakse kõiki neid allkirju enamiku saadaolevate võtmeserverite vahel.
Suure hulga allkirjade omamine avalikul võtmel ei tohiks seetõttu mõjutada protokolli toimimist, kuid paljud OpenPGP-d kasutavad rakendused ja programmid ei ole ette nähtud nii, et need töötleksid üle mõnekümne signatuuri avaliku võtme kohta, nii et nende töötlemisel üleujutatud võtmed võtavad kaua aega või isegi ripuvad, muutes OpenPGP kasutamiskõlbmatuks avalike võtmete värskendamisel, importimisel või kasutamisel.
Sellest probleemist on varem teatatud kui teoreetilisest haavatavusest, mis tuleneb disaini otsusest lubada kellelgi teiste inimeste avalikele võtmetele alla kirjutada. Seda "disainiviga" ei parandatud kunagi ja see ei olnud siiani ohustatud.
Probleemi lahendamiseks saabub GnuPG uus versioon
Uus versioon pakub välja võtmeserverite rünnaku tõkestamise meetmed, mille tõttu GnuPG hangub ja väldib edasisi töid, kuni probleemsertifikaat kohalikust poest eemaldatakse või sertifikaadipood taastatud avalike kinnitatud võtmete põhjal.
Lisakaitse põhineb kõigi digitaalallkirjade täielikul vaikimisi möödaviigul võtmesalvestusserveritelt saadud kolmanda osapoole sertifikaadid.
Oluline on meeles pidada, et iga kasutaja saab lisada võtmehoidlaserveri suvalistele sertifikaatidele oma digitaalallkirja, mida ründajad kasutavad ohvri sertifikaadi jaoks suure hulga selliste allkirjade loomiseks (rohkem kui sada tuhat), mille töötlemine katkestab tavaline GnuPG töö.
Kolmandate osapoolte digitaalallkirjade eiramist juhib valik "Ainult automaatne sigs", mis võimaldab võtmete jaoks laadida ainult nende loojate allkirju.
Vana käitumise taastamiseks failis gpg.conf saate lisada konfiguratsiooni «keyserver-options no-self-sigs-only, no-import-clean"
Samal ajal, kui töö käigus on plokkide arvu import fikseeritud, mis põhjustab kohaliku salvestusruumi (pubring.kbx) ülevoolu, aktiveerib GnuPG vea kuvamise asemel automaatselt ignoreerimise režiimi allkirjad digitaalsed ("automaatne tulekahju, import-puhas").
Võtmete värskendamiseks veebivõtmekataloogi (WKD) abil saab valida '--locate-external-key', Mida saab kasutada kinnitatud avalike võtmete põhjal sertifikaadipoe uuesti loomiseks.
Operatsiooniga «--auto-key-retrieve«, WKD mehhanismi eelistatakse nüüd võtmeserveritele.
WKD olemus on avalike võtmete paigutamine veebi koos lingiga e-posti aadressis määratud domeenile.
Näiteks aadressi jaoks «test@example.com«, Võtme saab alla laadida lingi kaudu«https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a"
Kuidas installida GnuPG 2.2.17 Ubuntu ja selle derivaatidele?
Praegu pole GnuPG 2.2.17 uus versioon ametlikes Ubuntu hoidlates saadaval, Seetõttu peavad need, kes eelistavad seda installikandjat, ootama paketi värskendamist, võib-olla selle nädala jooksul ja pakett on saadaval.
Neile, kes vajavad probleemide lahendamiseks juba värskendust, peaksid nad alla laadima GnuPG lähtekoodi oma ametlikult veebisaidilt, link on see.
Pärast seda peavad nad allalaaditud paketi lahti pakkima ja asetsema tekkinud kaustas terminalis.
Seda saate teha, sisestades avatud terminali:
tar xvzf gnupg-2.2.17.tar.bz2
Pärast seda sisestame kausta, mis on loodud:
cd gnupg-2.2.17
Terminalis peavad nad sisestama ainult järgmised käsud:
./configure make make check make install