Из-за проблем, связанных с игнорированием ключевых подписей в OpenPGP, Выпущена версия OpenPGP (RFC-4880) и S / MIME соответствует стандартам GnuPG 2.2.17 (GNU Privacy Guard), который предоставляет утилиты для шифрования данных, электронных подписей, управления ключами и доступа к хранилищам открытых ключей.
Это обновление было получено так как в конце июня Некоторые члены сообщества OpenPGP и близкие к нему объявили, что их собственные открытые ключи залиты подозрительными подписями., достигая в некоторых случаях более 150.000 XNUMX на момент публикации этой статьи, кроме того, все эти подписи синхронизируются между большинством доступных серверов ключей.
Таким образом, наличие большого количества подписей на открытом ключе не должно влиять на работу протокола, однако многие реализации и программы, использующие OpenPGP, не предназначены для обработки более нескольких десятков подписей на открытый ключ, поэтому при их обработке Переполнение ключей занимает много времени или даже зависает, что делает OpenPGP непригодным для использования при обновлении, импорте или использовании скомпрометированных открытых ключей.
В прошлом об этой проблеме сообщалось как о теоретической уязвимости в результате дизайнерского решения, позволяющего любому подписывать открытые ключи других людей. Этот «недостаток конструкции» так и не был исправлен и до сих пор не был исправлен.
Новая версия GnuPG решает эту проблему.
В новой версии предлагаются меры по противодействию атаке на ключевые серверы., в результате чего GnuPG зависает и избегает дальнейшей работы до тех пор, пока проблемный сертификат не будет удален из локального хранилища или хранилище сертификатов не будет воссоздано на основе проверенных открытых ключей.
Дополнительная защита основана на полном обходе по умолчанию всех цифровых подписей. сторонние сертификаты, полученные с серверов хранения ключей.
Важно помнить, что любой пользователь может добавить свою цифровую подпись к произвольным сертификатам на сервере хранилища ключей, что используется злоумышленниками для создания большого количества таких подписей (более ста тысяч) для сертификата жертвы, обработка которых прерывается. нормальная работа GnuPG.
Игнорирование сторонних цифровых подписей регулируется опцией «auto-sigs-only», которая позволяет загружать только подписи их создателей для ключей.
Чтобы восстановить старое поведение в gpg.conf, вы можете добавить конфигурацию «keyserver-options no-self-sigs-only, no-import-clean».
При этом, если в процессе работы фиксируется импорт количества блоков, что вызовет переполнение локального хранилища (pubring.kbx), GnuPG вместо того, чтобы показывать ошибку, автоматически активирует режим игнорирования подписи цифровые («авто-ели, импорт-чистые»).
Чтобы обновить ключи с помощью механизма Web Key Directory (WKD), параметр '--locate-external-key', Который можно использовать для воссоздания хранилища сертификатов на основе проверенных открытых ключей.
При операции «--auto-key-retrieve«, Механизм WKD теперь предпочтительнее ключевых серверов.
Суть WKD заключается в размещении открытых ключей в сети со ссылкой на домен, указанный в адресе электронной почты.
Например, для адреса «test@example.com«, Ключ можно скачать по ссылке«https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a».
Как установить GnuPG 2.2.17 на Ubuntu и производные?
В настоящее время новая версия GnuPG 2.2.17 недоступна в официальных репозиториях Ubuntu, поэтому тем, кто предпочитает этот установочный носитель, придется подождать, пока пакет обновится, возможно, в течение этой недели, и пакет будет доступен.
Тем, кому уже необходимо выполнить обновление для решения проблем, следует загрузить исходный код GnuPG с официального сайта, ссылка такая.
После этого им нужно будет распаковать загруженный пакет и разместиться в терминале внутри полученной папки.
Вы можете сделать это, набрав в открывшемся терминале:
tar xvzf gnupg-2.2.17.tar.bz2
После этого мы войдем в папку, созданную с помощью:
cd gnupg-2.2.17
В терминале им останется только ввести следующие команды:
./configure make make check make install