BREAKING NEWS

Liberada la versión GnuPG 2.2.17

Derivado de los problemas relacionados con las firmas de clave que eran ignoradas en OpenPGP, OpenPGP ha liberado una nueva versión ( RFC-4880 ) y S / MIME que cumple con las normas GnuPG 2.2.17 (GNU Privacy Guard), ésta utilidades para el cifrado de datos, firmas electrónicas, gestión de claves y acceso a almacenes de claves públicas.

Esta actualización se derivo a finales de Junio y algunas personas integrantes y cercanas a la comunidad de OpenPGP anunciaron que sus propias llaves públicas estaban siendo inundadas de firmas sospechosas, llegando en algunos casos a más de 150.000, además todas estas firmas están siendo sincronizadas entre la mayoría de los servidores de llaves disponibles.

Sabemos que tener una gran cantidad de firmas en una llave pública no debería afectar el funcionamiento del protocolo, sin embargo, muchas implementaciones y programas que usan OpenPGP no están diseñadas para manejar más de unas pocas decenas de firmas por llave pública, entonces al procesar estas llaves inundadas tardan mucho tiempo o incluso se cuelgan, inutilizando OpenPGP al actualizar, importar o usar llaves públicas comprometidas.

Este problema ha sido reportado en el pasado como una vulnerabilidad teórica producto de la decisión de diseño de permitir que cualquiera pueda firmar llaves públicas de otros. Esta «falla de diseño» nunca fue corregida y hasta ahora no había sido vulnerada.

La nueva versión de GnuPG llega solucionar el problema

La nueva versión propone medidas para contrarrestar el ataque en servidores clave, lo que hace que GnuPG cuelgue y evite más trabajo hasta que el certificado de problema se elimine del almacén local o el almacén de certificados se vuelva a crear basándose en claves públicas verificadas.

La protección adicional se basa en la omisión completa por defecto de todas las firmas digitales de terceros de los certificados recibidos de los servidores de almacenamiento clave.

Es importante recordar que cualquier usuario puede agregar su firma digital a certificados arbitrarios en el servidor de almacenamiento de claves, que es utilizado por los atacantes para crear para el certificado de la víctima un gran número de tales firmas (más de cien mil), cuyo procesamiento interrumpe el funcionamiento normal de GnuPG.

Ignorar las firmas digitales de terceros se rige por la opción “solo auto-sigs-only”, que permite cargar solo las firmas de sus creadores para las claves.

Para restaurar el comportamiento anterior en gpg.conf puede agregar la configuraciónkeyserver-options no-self-sigs-only, no-import-clean“.

Al mismo tiempo, si en el curso del trabajo, la importación del número de bloques es fija, lo que provocará un desbordamiento del almacenamiento local (pubring.kbx), GnuPG en lugar de mostrar un error, activa automáticamente el modo de ignorar las firmas digitales (“auto-firs, import-clean”).

Para actualizar las claves utilizando el mecanismo del Directorio de claves web (WKD) , se agregó la opción “--locate-external-key“, que se puede usar para volver a crear un almacén de certificados basado en claves públicas verificadas.

Con la operación “--auto-key-retrieve“, el mecanismo WKD ahora se prefiere a los servidores clave.

La esencia de WKD es colocar claves públicas en la web con un enlace al dominio especificado en la dirección de correo electrónico.

Por ejemplo, para la dirección “Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.“, la clave se puede descargar a través del enlace “https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a“.


¿Como instalar GnuPG 2.2.17 en Ubuntu y derivados?

Actualmente la nueva versión de GnuPG 2.2.17 no está disponible en los repositorios oficiales de Ubuntu, por lo que para quienes prefieran este medio de instalación tendrán que esperar a que el paquete sea actualizado, posiblemente durante el transcurso de esta semana ya este disponible el paquete.

Para quienes ya necesitan realizar la actualización para dar solución a los problemas, deben descargar el código fuente de GnuPG desde su página web oficial, el enlace es este.

Después de ello tendrán que descomprimir el paquete descargado y posicionarse en una terminal dentro de la carpeta resultante.

Esto lo puedes hacer tecleando en la terminal que abriste:

1
tar xvzf gnupg-2.2.17.tar.bz2

Después de ello vamos a entrar a la carpeta creada con:

1
cd gnupg-2.2.17

Ya en la terminal solo tendrán que teclear los siguientes comandos:

1
2
3
4
5
6
7
./configure
 
make
 
make check
 
make install


Puedes descargarlo aqui de este enlace https://gnupg.org/download/