https://mobile.opennet.me/openforum/vsluhforumID3/117882.html Опубликован (https://lists.gnupg.org/pipermail/gnupg-announce/2019q3/000439.html) релиз инструментария GnuPG 2.2.17 (https://gnupg.org/) (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880 (https://tools.ietf.org/html/rfc4880)) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.2 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.1 допускаются только корректирующие исправления.<br><br><br>В новом выпуске предложены меры для противостояния атаке на серверы ключей (https://www.opennet.ru/opennews/art.shtml?num=51006), приводящей к зависанию GnuPG и невозможности дальнейшей работы до удаления проблемного сертификата из локального хранилища или пересоздания хранилища сертификатов на основе проверенных открытых ключей. Добавленная защита построена на полном игнорировании по умолчанию всех сторонних цифровых подписей сертиф https://mobile.opennet.me/openforum/vsluhforumID3/117882.html#28 Tue, 04 Aug 2020 15:08:07 GMT &gt; а как посмотреть если на ключе подпись конкретного человека, сертификат которого у меня есть? <br><br>gpg --list-keys --with-sig-check<br> https://mobile.opennet.me/openforum/vsluhforumID3/117882.html#27 Thu, 11 Jul 2019 15:23:10 GMT Верифиция, построение графа, проходит на серверах. С базы серверов давать возможность что-то выкидывает НЕЛЬЗЯ.<br><br>Фичи не учитывать при верификации подписи с прилагаемого файла нет. Да и пользователь откуда этот файл возьмёт? Кто и как его будет создавать и поддерживать?<br> https://mobile.opennet.me/openforum/vsluhforumID3/117882.html#26 Thu, 11 Jul 2019 14:54:19 GMT &gt; решение товарищмайора: напихать тебе подписей столько, чтобы память у твоего ящика лопнула.<br><br>Это понятно.<br><br>&gt;&gt; Матмодель и алгоритмы менять нельзя.<br>&gt; так точно, товарищ майор! И сомневаться в адекватности тех кто так говорит - тоже нельзя!<br><br>Текущая мат модель гарантирует, анонимность.<br><br>Все изменения плохи:<br><br>1. Или уменьшить анонимность поставив дополнительные условия на подпись ключа.<br><br>2. Или оставить анонимность, а выкидывает поврежденные ключи. А товарищ майор хитрый и будет херить связывающие ключи, пока верификация не распадётся на географические домены: между Австралией, Бразилией и Россией мало связующих ключей.<br><br>3. Предложил свой алгоритм, не уменьшающий анонимность и чтобы не пришлось выбрасывать забитые подписями ключи.<br> https://mobile.opennet.me/openforum/vsluhforumID3/117882.html#25 Thu, 11 Jul 2019 14:44:13 GMT Последние 10000 обработанных подписей от товарищмайора (правдоподобность которых составляет 0 целых Х десятых (потому, что англицкими учонымы-архыолыгамы были найдены останки Васи и Вовы)) не добавили к доверию ни грамма! Удалить эти подписи (и не доверять им всегда (по фингер-принту)) - ОК!<br>Тут только одна кнопка, с надписью "ОК!" (что бы у пользователя голова не болела).<br><br>Тому, кому так необходимо, оставить эти подозрительные (или нет) подписи для дальнейшего использования, тот должен будет включить режим "Эксперта" (или залезть ручками в текстовые конфиги и поправить их самостоятельно ;)<br> https://mobile.opennet.me/openforum/vsluhforumID3/117882.html#24 Thu, 11 Jul 2019 14:38:35 GMT &gt; На клиентском уровне нужно ограничивать глубину погружения доверия, т.к. это не целесообразно на текущих железках да и просто выглядит утопично, ...<br><br>Не бойся, все работает! Ресурсов вполне хватает. Необходима достаточно большая глубина, чтобы ты с РФ мог верифицировать ключ кого-то с Бразилии или Австралии. Система успешно справлялась на железе 20-летней давности. И если туда спец сильно палок в колёса не вставлять все будет работать нормально.<br><br>ГЛАВНОЕ НЕ ОБНОВЛЯТЬСЯ.<br> https://mobile.opennet.me/openforum/vsluhforumID3/117882.html#23 Thu, 11 Jul 2019 14:32:32 GMT &gt; Для этого нужно а) много ресурсов б) много памяти.<br><br>Да ресурсов жрёт...<br><br>Тебе не надо каждый день верифицировать базу! Ты же каждый день новые ключи не добавляшь.<br><br>Верифицировать стоит когда ты добавил несколько новых ключей. Верифицировать свою базу можно в принудительном порядке, а если этого пользователь не сделает, то gpg (до обновления), сам ходил, на серваки когда считал нужным и верифицировал.<br><br>Для повседневной работы с gpg наличие каких либо серверов, интернатов вообще не нужно.<br> https://mobile.opennet.me/openforum/vsluhforumID3/117882.html#22 Thu, 11 Jul 2019 09:43:50 GMT &gt; Так, вроде же, всегда можно было и управлять уровнем доверия, даваемым подписью <br><br>нельзя, бинарный он, в том и горе. Либо доверие, либо нет.<br>&gt; конкретного Васи, и рекомендовалось получить как можно больше подписей различных людей? <br><br>ну и откуда они в реальной жизни возьмутся (доверенные, в смысле человеков, а не криптографии)? <br><br>&gt; Если у ключа пять подписей, каждой из которых я умеренно доверяю, <br><br>по факту их пять тыщ и хз кто все эти люди.<br><br>&gt; и я имею основания полагать, что они независимы - то уже <br><br>независимы - да. Но имеют привычку подписывать что попало - именно потому что "главное - количество".<br><br>левый ключ точно так же подпишут, вообще ничего не проверяя - появился на сервере - подписать, ok.<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID3/117882.html#21 Thu, 11 Jul 2019 09:39:27 GMT так блин, не в ограничениях суть - в отсутствии правильных инструментов.<br>примерно как и в современных браузерах - можно было бы наплевать на вакханалию с CA, если бы был сохранен хотя бы (тоже неописуемо кривой) механзим ручного вмешательства времен мазилы3.x - но нет, намеренно уничтожен полностью.<br> https://mobile.opennet.me/openforum/vsluhforumID3/117882.html#20 Thu, 11 Jul 2019 09:03:31 GMT 1. подпись не обязана быть одна, ты можешь например требовать что бы у ключа было 3 подписи от людей которым ты доверяешь<br>2. gpg не накладывает ограничения на тип используемой модели, можно вообще отключить web of trust<br>