Az OpenPGP-ben a kulcsaláírások figyelmen kívül hagyásával kapcsolatos problémák miatt, Megjelent az OpenPGP verzió (RFC-4880) és S / MIME amely megfelel a GnuPG 2.2.17 szabványoknak (GNU Privacy Guard), amely segédprogramokat biztosít az adatok titkosításához, az elektronikus aláírásokhoz, a kulcsok kezeléséhez és a nyilvános kulcsok tárolásához való hozzáféréshez.
Ez a frissítés származik mivel június végén Az OpenPGP közösség néhány tagja és annak közeli tagja bejelentette, hogy saját nyilvános kulcsaikat gyanús aláírások árasztják el, egyes esetekben meghaladja a 150.000 XNUMX-et a cikk megjelenésekor, ráadásul az összes aláírást szinkronizálják a rendelkezésre álló kulcsszerverek többségével.
Mint ilyen, nagyszámú aláírás egy nyilvános kulcson nem befolyásolhatja a protokoll működését, azonban az OpenPGP-t használó számos megvalósítást és programot nem úgy tervezték, hogy nyilvános kulcsonként több tucat aláírást kezeljen, ezért ezek feldolgozásakor az elárasztott kulcsok sokáig tartanak, vagy akár lefagynak, használhatatlanná téve az OpenPGP-t a nyilvános kulcsok frissítésekor, importálásakor vagy használatakor.
A problémáról a múltban elméleti sérülékenységként számoltak be, amely annak a tervezési döntésnek az eredményeként következett be, amely lehetővé tette, hogy bárki aláírhassa mások nyilvános kulcsait. Ezt a "tervezési hibát" soha nem javították ki, és mindeddig nem veszélyeztették.
A probléma megoldására megérkezik a GnuPG új verziója
Az új verzió intézkedéseket javasol a kulcsszerverek elleni támadás leküzdésére, ami miatt a GnuPG lefagy és elkerüli a további munkát mindaddig, amíg a problémás tanúsítványt el nem távolítják a helyi áruházból, vagy a tanúsítványtárolót vissza nem állítják ellenőrzött nyilvános kulcsok alapján.
A további védelem az összes digitális aláírás teljes alapértelmezett megkerülésén alapul kulcsfontosságú tárolókiszolgálóktól kapott harmadik féltől származó tanúsítványok.
Fontos megjegyezni, hogy bármely felhasználó hozzáadhatja digitális aláírását a kulcstároló szerver tetszőleges tanúsítványaihoz, amelyet a támadók nagyszámú (több mint százezer) aláírás létrehozására használnak az áldozat tanúsítványához, amelyekből a Feldolgozás megszakad normál GnuPG működés.
A harmadik féltől származó digitális aláírások figyelmen kívül hagyását a "csak az automatikus sigs" opció szabályozza, amely csak alkotóik aláírását tölti be a kulcsokhoz.
A régi viselkedés visszaállításához a gpg.conf fájlban hozzáadhatja a konfigurációt «keyserver-options no-self-sigs-only, no-import-clean”.
Ugyanakkor, ha a munka során a blokkok számának importálása rögzített, ami a helyi tárhely (pubring.kbx) túlcsordulását idézi elő, a hiba helyett a GnuPG automatikusan aktiválja a figyelmen kívül hagyás módját az aláírások digitálisak ("auto-firs, import-clean").
A kulcsok frissítéséhez a Web Key Directory (WKD) mechanizmus segítségével a '--locate-external-key', Amellyel igazolt tároló hozható létre újra ellenőrzött nyilvános kulcsok alapján.
A művelettel «--auto-key-retrieve«, A WKD mechanizmust most előnyben részesítik a kulcsszerverekkel szemben.
A WKD lényege, hogy nyilvános kulcsokat helyezzen el az interneten az e-mail címben megadott tartományra mutató linkkel.
Például a címre «test@example.com«, A kulcs a« linken keresztül tölthető lehttps://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a”.
Hogyan telepítsem a GnuPG 2.2.17-et az Ubuntu-ra és a származékaira?
Jelenleg a GnuPG 2.2.17 új verziója nem érhető el a hivatalos Ubuntu adattárakban, Ezért azok számára, akik ezt a telepítési médiumot kedvelik, meg kell várniuk a csomag frissítését, esetleg ezen a héten, és a csomag elérhető.
Azok számára, akiknek már el kell végezniük a frissítést a problémák megoldása érdekében, töltsék le a GnuPG forráskódját a hivatalos weboldaláról, a link ez.
Ezt követően kicsomagolnia kell a letöltött csomagot, és a kapott mappa termináljába kell helyezkednie.
Ezt úgy teheti meg, hogy beírja a megnyitott terminált:
tar xvzf gnupg-2.2.17.tar.bz2
Ezután belépünk a következővel létrehozott mappába:
cd gnupg-2.2.17
A terminálban csak a következő parancsokat kell beírniuk:
./configure make make check make install