A causa di problemi relativi alle firme delle chiavi ignorate in OpenPGP, È stata rilasciata la versione OpenPGP (RFC-4880) e S / MIME conforme agli standard GnuPG 2.2.17 (GNU Privacy Guard), che fornisce utilità per la crittografia dei dati, le firme elettroniche, la gestione delle chiavi e l'accesso agli archivi di chiavi pubbliche.
Questo aggiornamento è stato derivato dalla fine di giugno Alcuni membri e vicini alla comunità OpenPGP hanno annunciato che le proprie chiavi pubbliche erano state inondate di firme sospette, raggiungendo in alcuni casi più di 150.000 al momento della pubblicazione di questo articolo, inoltre tutte queste firme vengono sincronizzate tra la maggior parte dei server delle chiavi disponibili.
In quanto tale, avere un gran numero di firme su una chiave pubblica non dovrebbe influire sul funzionamento del protocollo, tuttavia, molte implementazioni e programmi che utilizzano OpenPGP non sono progettati per gestire più di poche dozzine di firme per chiave pubblica, quindi durante l'elaborazione di queste le chiavi inondate richiedono molto tempo o addirittura si bloccano, rendendo OpenPGP inutilizzabile durante l'aggiornamento, l'importazione o l'utilizzo di chiavi pubbliche compromesse.
Questo problema è stato segnalato in passato come una vulnerabilità teorica a seguito della decisione progettuale di consentire a chiunque di firmare le chiavi pubbliche di altre persone. Questo "difetto di progettazione" non è mai stato corretto e fino ad ora non era stato compromesso.
La nuova versione di GnuPG arriva per risolvere il problema
La nuova versione propone misure per contrastare l'attacco ai server chiave, che causa il blocco di GnuPG ed evita ulteriori lavori fino a quando il certificato problematico non viene rimosso dall'archivio locale o l'archivio certificati non viene ricreato in base alle chiavi pubbliche verificate.
La protezione aggiuntiva si basa sul bypass predefinito completo di tutte le firme digitali certificati di terze parti ricevuti dai server di archiviazione delle chiavi.
È importante ricordare che qualsiasi utente può aggiungere la propria firma digitale a certificati arbitrari sul server del keystore, che viene utilizzato dagli aggressori per creare un gran numero di tali firme (più di centomila) per il certificato della vittima, di cui l'elaborazione interrompe normale operazione di GnuPG.
Ignorare le firme digitali di terze parti è regolato dall'opzione "solo sigs auto", che consente di caricare solo le firme dei loro creatori per le chiavi.
Per ripristinare il vecchio comportamento in gpg.conf puoi aggiungere la configurazione «keyserver-options no-self-sigs-only, no-import-clean«.
Allo stesso tempo, se nel corso del lavoro viene fissata l'importazione del numero di blocchi, il che provocherà un overflow della memoria locale (pubring.kbx), GnuPG invece di mostrare un errore, attiva automaticamente la modalità di ignorare le firme digital ("auto-firs, import-clean").
Per aggiornare le chiavi utilizzando il meccanismo WKD (Web Key Directory), l'opzione '--locate-external-key', Che può essere utilizzato per ricreare un archivio certificati basato su chiavi pubbliche verificate.
Con l'operazione «--auto-key-retrieve«, Il meccanismo WKD è ora preferito ai server chiave.
L'essenza di WKD è posizionare le chiavi pubbliche sul Web con un collegamento al dominio specificato nell'indirizzo e-mail.
Ad esempio, per l'indirizzo «test@example.com«, La chiave può essere scaricata tramite il link«https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a«.
Come installare GnuPG 2.2.17 su Ubuntu e derivati?
Attualmente la nuova versione di GnuPG 2.2.17 non è disponibile nei repository ufficiali di Ubuntu, quindi, per coloro che preferiscono questo supporto di installazione, dovranno attendere l'aggiornamento del pacchetto, possibilmente nel corso di questa settimana, e il pacchetto sarà disponibile.
Per coloro che hanno già bisogno di eseguire l'aggiornamento per risolvere i problemi, dovrebbero scaricare il codice sorgente di GnuPG dal suo sito ufficiale, il collegamento è questo.
Dopodiché dovranno decomprimere il pacchetto scaricato e posizionarsi in un terminale all'interno della cartella risultante.
Puoi farlo digitando nel terminale che hai aperto:
tar xvzf gnupg-2.2.17.tar.bz2
Dopodiché entreremo nella cartella creata con:
cd gnupg-2.2.17
Nel terminale, dovranno solo digitare i seguenti comandi:
./configure make make check make install