GNU Privacy Guard (GnuPG o GPG) es una completa y libre integración del estándar OpenPGP (también conocido como PGP) que proporciona utilidades para el cifrado de datos, firmas electrónicas, gestión de claves y acceso a almacenes de claves públicas.
En las últimas semanas se habían detectado varios fallos relativos a la sincronización y firmado de las claves públicas pero la nueva versión GnuPG 2.2.17, llega para corregir estos problemas.
La nueva versión trae medidas por defecto para contrarrestar los ataques en servidores y evitar problemas con los certificados basándose en claves públicas verificadas. Estos cambios se basan en la omisión completa por defecto de todas las firmas digitales de terceros, de los certificados recibidos de los servidores de almacenamiento de claves.
De todas formas, se puede restaurar el comportamiento anterior de GPG modificando su configuración.


Cambios en la versión 2.2.17

– Ignora todas las firmas de claves recibidas de los servidores de claves.
– Si un keyblocks importado es demasiado grande para ser almacenado en la base de datos keybox, no comete errores, sino que se recurre a una importación.
– Nuevo comando –locate-external-key que puede ser usado para refrescar las claves desde el directorio de claves web o a través de otros métodos.
– Nueva opción de importación self-sigs-only.


– En –auto-key-retrieve prefiere WKD a los servidores de claves.
– Soporta la característica de subdominio openpgpkey.
– Añade una excepción para lo subdominio openpgpkey al CSRF.
– Corrige bucle sin fin debido a los errores http 503 y 504.
– Corrige el error TLS durante la redirección de las peticiones HKP.

Más información

Pin It on Pinterest

Share This