GnuPG 2.2.17 リリース: 公開鍵サーバ・アクセスに関する過激な変更あり

no extension

くっそー。 Gmail の野郎が GnuPG からのアナウンスを迷惑メールとして処理してくれやがったので気づくのが遅れた。

GnuPG 2.2.17 のリリースである。

先日紹介した「OpenPGP 公開鍵サーバにおける公開鍵の汚染問題」を受けて公開鍵サーバからのインポートをかなり制限することにしたようだ。

詳細はこちら。

  • gpg: Ignore all key-signatures received from keyservers. This change is required to mitigate a DoS due to keys flooded with faked key-signatures. The old behaviour can be achieved by adding keyserver-options no-self-sigs-only,no-import-clean to your gpg.conf. [#4607]
  • gpg: If an imported keyblocks is too large to be stored in the keybox (pubring.kbx) do not error out but fallback to an import using the options "self-sigs-only,import-clean". [#4591]
  • gpg: New command --locate-external-key which can be used to refresh keys from the Web Key Directory or via other methods configured with --auto-key-locate.
  • gpg: New import option "self-sigs-only".
  • gpg: In --auto-key-retrieve prefer WKD over keyservers. [#4595]
  • dirmngr: Support the "openpgpkey" subdomain feature from draft-koch-openpgp-webkey-service-07. [#4590].
  • dirmngr: Add an exception for the "openpgpkey" subdomain to the CSRF protection. [#4603]
  • dirmngr: Fix endless loop due to http errors 503 and 504. [#4600]
  • dirmngr: Fix TLS bug during redirection of HKP requests. [#4566]
  • gpgconf: Fix a race condition when killing components. [#4577]

Release-info: https://dev.gnupg.org/T4606

via GnuPG 2.2.17 released to mitigate attacks on keyservers

今回の変更で公開鍵サーバ上の公開鍵について付帯する電子署名は(自己署名を除いて)捨てられることになった。 以前の動作に戻したければ gpg.conf に以下のオプションを追加する。

keyserver-options no-self-sigs-only,no-import-clean

しかし現時点でこれはおすすめできない。

また公開鍵のインポートで --self-sigs-only オプションが使えるようだ。 状況に応じて使い分けるといいだろう。

ちなみに拙作の gpgpdump を使って,公開鍵をインポートする前に鍵の構成をチェックできる。 v0.6.0 から公開鍵サーバ上の公開鍵を直接チェックできるようにしたので上手く使っていただけるとありがたい。

後半の WKD (Web Key Directory) は 2019-07-10 現在ドラフト08が出ている。

今回の一連を受けて標準化と実装が早まるかもしれない。 私もちょっと検討してみようかな。 OpenPGP のメーリングリストでも議論が行われているんだけどスルーしてたんだよなぁ。

さて Ubuntu が今回のバージョンをちゃんとリリースしてくれるといいんだけど。 しないのなら本気で私的ビルドを検討 (どげんか) せんといけんかもしれん。

ブックマーク

参考図書

photo
暗号技術入門 第3版 秘密の国のアリス
結城 浩
SBクリエイティブ 2015-08-25 (Release 2015-09-17)
eBooks Kindle版
ASIN: B015643CPE
評価     

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by amazon-item v0.2.0)