forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск GnuPG 2.2.17 с изменениями для противостояния атаке н..."
Отправлено opennews, 10-Июл-19 12:27

Опубликован (https://lists.gnupg.org/pipermail/gnupg-announce/2019q3/0004...)  релиз инструментария  GnuPG 2.2.17 (https://gnupg.org/) (GNU Privacy Guard), совместимого со стандартами  OpenPGP (RFC-4880 (https://tools.ietf.org/html/rfc4880)) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.2 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.1 допускаются только корректирующие исправления.

В новом выпуске предложены меры для противостояния атаке на серверы ключей (https://www.opennet.ru/opennews/art.shtml?num=51006), приводящей к зависанию GnuPG  и невозможности дальнейшей работы до удаления проблемного сертификата из локального хранилища или пересоздания хранилища сертификатов на основе проверенных открытых ключей. Добавленная защита построена на полном игнорировании по умолчанию всех сторонних цифровых подписей сертификатов, полученных с серверов хранения ключей. Напомним, что любой пользователь может добавить на сервер хранения ключей свою цифровую подпись для произвольных сертификатов, что используется злоумышленниками для создания для сертификата жертвы огромного числа таких подписей (более сотни тысяч), обработка которых нарушает нормальную работу GnuPG.

Игнорирование сторонних цифровых подписей регулируются опцией "self-sigs-only", которая допускает загрузку для ключей только собственных подписей их создателей. Для восстановления старого поведения в gpg.conf может добавить настройку "keyserver-options no-self-sigs-only,no-import-clean". При этом если в процессе работы фиксируется импортирование числа блоков, которое вызовет переполнение локального хранилища (pubring.kbx),  GnuPG вместо вывода ошибки автоматически включает режим игнорирования цифровых подписей ("self-sigs-only,import-clean").

Для обновления ключей c использованием механизма Web Key Directory (https://wiki.gnupg.org/WKD) (WKD) добавлена опция "--locate-external-key", которую можно использовать для пересоздания хранилища сертификатов на основе проверенных открытых ключей. При выполнении операции "--auto-key-retrieve" механизм WKD теперь является более предпочтительным, чем серверы ключей. Суть работы WKD заключается в размещении открытых ключей в web c привязкой к домену, указанному в почтовом адресе. Например, для адреса "test@example.com" ключ может быть загружен через ссылку "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfc....
URL: https://lists.gnupg.org/pipermail/gnupg-announce/2019q3/0004...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51067

Исходное сообщение
"Выпуск GnuPG 2.2.17 с изменениями для противостояния атаке н..." Отправлено opennews, 10-Июл-19 12:27
Опубликован (https://lists.gnupg.org/pipermail/gnupg-announce/2019q3/0004...) релиз инструментария GnuPG 2.2.17 (https://gnupg.org/) (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880 (https://tools.ietf.org/html/rfc4880)) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.2 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.1 допускаются только корректирующие исправления. В новом выпуске предложены меры для противостояния атаке на серверы ключей (https://www.opennet.ru/opennews/art.shtml?num=51006), приводящей к зависанию GnuPG и невозможности дальнейшей работы до удаления проблемного сертификата из локального хранилища или пересоздания хранилища сертификатов на основе проверенных открытых ключей. Добавленная защита построена на полном игнорировании по умолчанию всех сторонних цифровых подписей сертификатов, полученных с серверов хранения ключей. Напомним, что любой пользователь может добавить на сервер хранения ключей свою цифровую подпись для произвольных сертификатов, что используется злоумышленниками для создания для сертификата жертвы огромного числа таких подписей (более сотни тысяч), обработка которых нарушает нормальную работу GnuPG. Игнорирование сторонних цифровых подписей регулируются опцией "self-sigs-only", которая допускает загрузку для ключей только собственных подписей их создателей. Для восстановления старого поведения в gpg.conf может добавить настройку "keyserver-options no-self-sigs-only,no-import-clean". При этом если в процессе работы фиксируется импортирование числа блоков, которое вызовет переполнение локального хранилища (pubring.kbx), GnuPG вместо вывода ошибки автоматически включает режим игнорирования цифровых подписей ("self-sigs-only,import-clean"). Для обновления ключей c использованием механизма Web Key Directory (https://wiki.gnupg.org/WKD) (WKD) добавлена опция "--locate-external-key", которую можно использовать для пересоздания хранилища сертификатов на основе проверенных открытых ключей. При выполнении операции "--auto-key-retrieve" механизм WKD теперь является более предпочтительным, чем серверы ключей. Суть работы WKD заключается в размещении открытых ключей в web c привязкой к домену, указанному в почтовом адресе. Например, для адреса "test@example.com" ключ может быть загружен через ссылку "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfc.... URL: https://lists.gnupg.org/pipermail/gnupg-announce/2019q3/0004... Новость: https://www.opennet.ru/opennews/art.shtml?num=51067

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Опубликован (https://lists.gnupg.org/pipermail/gnupg-announce/2019q3/000439.html) 
>  релиз инструментария  GnuPG 2.2.17 (https://gnupg.org/) (GNU Privacy Guard), совместимого 
> со стандартами  OpenPGP (RFC-4880 (https://tools.ietf.org/html/rfc4880)) и S/MIME, и 
> предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления 
> ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 
> 2.2 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, 
> в ветке 2.1 допускаются только корректирующие исправления.

> В новом выпуске предложены меры для противостояния атаке на серверы ключей (https://www.opennet.ru/opennews/art.shtml?num=51006), 
> приводящей к зависанию GnuPG  и невозможности дальнейшей работы до удаления 
> проблемного сертификата из локального хранилища или пересоздания хранилища сертификатов 
> на основе проверенных открытых ключей. Добавленная защита построена на полном игнорировании 
> по умолчанию всех сторонних цифровых подписей сертификатов, полученных с серверов хранения 
> ключей. Напомним, что любой пользователь может добавить на сервер хранения ключей 
> свою цифровую подпись для произвольных сертификатов, что используется злоумышленниками 
> для создания для сертификата жертвы огромного числа таких подписей (более сотни 
> тысяч), обработка которых нарушает нормальную работу GnuPG.

> Игнорирование сторонних цифровых подписей регулируются опцией "self-sigs-only", которая 
> допускает загрузку для ключей только собственных подписей их создателей. Для восстановления 
> старого поведения в gpg.conf может добавить настройку "keyserver-options no-self-sigs-only,no-import-clean". 
> При этом если в процессе работы фиксируется импортирование числа блоков, которое 
> вызовет переполнение локального хранилища (pubring.kbx),  GnuPG вместо вывода ошибки автоматически 
> включает режим игнорирования цифровых подписей ("self-sigs-only,import-clean").

> Для обновления ключей c использованием механизма Web Key Directory (https://wiki.gnupg.org/WKD) 
> (WKD) добавлена опция "--locate-external-key", которую можно использовать для пересоздания 
> хранилища сертификатов на основе проверенных открытых ключей. При выполнении операции 
> "--auto-key-retrieve" механизм WKD теперь является более предпочтительным, чем серверы 
> ключей. Суть работы WKD заключается в размещении открытых ключей в web 
> c привязкой к домену, указанному в почтовом адресе. Например, для адреса 
> "test@example.com" ключ может быть загружен через ссылку "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".

> URL: https://lists.gnupg.org/pipermail/gnupg-announce/2019q3/000439.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=51067

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру