Објављена верзија ГнуПГ 2.2.17 са решењима за проблеме ОпенПГП-а

ГнуПГ

Због проблема у вези са кључним потписима који се игноришу у ОпенПГП-у, објављена је ОпенПГП верзија (РФЦ-4880) и С/МИМЕ који је у складу са ГнуПГ 2.2.17 стандардима (ГНУ Приваци Гуард), који обезбеђује услужне програме за шифровање података, електронске потписе, управљање кључевима и приступ складиштима јавних кључева.

Ово ажурирање је изведено пошто је крајем јуна Неки људи који су чланови и блиски заједници ОпенПГП објавили су да су њихови јавни кључеви преплављени сумњивим потписима., достижући у неким случајевима више од 150.000 у време објављивања овог чланка, поред тога сви ови потписи се синхронизују између већине доступних сервера кључева.

Као такво, поседовање великог броја потписа на јавном кључу не би требало да утиче на рад протокола, међутим многе имплементације и програми који користе ОпенПГП нису дизајнирани да руководе више од неколико десетина потписа по јавном кључу, тако да приликом обраде Ови преплављени кључеви трају дуго или чак виси, што ОпенПГП чини неупотребљивим приликом ажурирања, увоза или коришћења компромитованих јавних кључева.

Овај проблем је у прошлости пријављиван као теоријска рањивост која је резултат дизајнерске одлуке да се свакоме дозволи да потпише туђе јавне кључеве. Ова "пропуста у дизајну" никада није исправљена и до сада није прекршена.

Нова верзија ГнуПГ-а решава проблем

Нова верзија предлаже мере за сузбијање напада на кључне сервере, што узрокује да ГнуПГ виси и спречава даљи рад док се проблемски сертификат не уклони из локалног складишта или се складиште сертификата поново креира на основу верификованих јавних кључева.

Додатна заштита се заснива на потпуном изостављању свих дигиталних потписа сертификати треће стране примљени од сервера за складиштење кључева.

Важно је запамтити да сваки корисник може да дода свој дигитални потпис произвољним сертификатима на серверу за складиштење кључева, који користе нападачи да за сертификат жртве креирају велики број таквих потписа (више од сто хиљада), чија се обрада прекида. нормално функционисање ГнуПГ-а.

Игнорисање дигиталних потписа трећих страна је регулисано опцијом „само за аутоматско потписивање“, која омогућава да се за кључеве отпреме само потписи њихових креатора.

Да бисте вратили претходно понашање у гпг.цонф, можете додати конфигурацију «keyserver-options no-self-sigs-only, no-import-clean".

Истовремено, ако се у току рада поправи увоз броја блокова, што ће изазвати преливање локалног складишта (пубринг.кбк), ГнуПГ уместо да прикаже грешку аутоматски активира режим игнорисања дигитални потписи („ауто-фирс, импорт-цлеан”).

Да бисте ажурирали кључеве помоћу механизма Веб Кеи Дирецтори (ВКД), опција „--locate-external-key«, који се може користити за поновно креирање складишта сертификата на основу верификованих јавних кључева.

Са операцијом «--auto-key-retrieve«, ВКД механизам је сада пожељнији у односу на кључне сервере.

Суштина ВКД-а је постављање јавних кључева на веб са везом до домена наведеног у адреси е-поште.

На пример, за адресу «test@example.com«, кључ се може преузети преко линка «https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".

Како инсталирати ГнуПГ 2.2.17 на Убунту и деривате?

Тренутно нова верзија ГнуПГ 2.2.17 није доступна у званичним Убунту репозиторијумима, тако да ће они који преферирају овај инсталациони медијум морати да сачекају да се пакет ажурира, а можда ће током ове недеље пакет већ бити доступан.

За оне који већ треба да изврше ажурирање да би решили проблеме, треба да преузму изворни код ГнуПГ-а са његове званичне веб странице, веза је ово.

Након тога мораће да распакују преузети пакет и поставе се у терминал унутар резултирајуће фасцикле.

То можете учинити тако што ћете откуцати у терминал који сте отворили:

tar xvzf gnupg-2.2.17.tar.bz2

Након тога ћемо ући у фасциклу креирану са:

cd gnupg-2.2.17

Сада у терминалу мораћете само да унесете следеће команде:

./configure

make

make check

make install

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.