Am 29. Juni wurde auf Github der Artikel „SKS Keyserver Network Under Attack“ (unter https://gist.github.com/rjhansen ) veröffentlicht, in dem auf Probleme mit böswillig „vergifteten“ OpenPGP-Schlüsseln hingewiesen wird, die auf SKS-Schlüsselservern abgelegt wurden. Der Import solcher vergifteten Schlüssel kann beim Import lokale gnupg-Schlüsselringe dermaßen beeinträchtigen, dass mit diesen nicht mehr gearbeitet werden kann. Um diese Probleme zu vermeiden, empfehlen wir die folgende Maßnahme:
Verwenden Sie in und mit gpg4o die aktuelle Version von GnuPG, 2.2.17. Sie können die GnuPG Version per Aktualisierung von GnuPG in gpg4o verwenden (einzeln erhältlich auch unter https://download.giepa.de/gnupg/gnupg-w32-2.2.17_20190709.exe).
Zusätzlich können Sie folgende Regeln beachten:
• Importieren Sie nur Schlüssel aus vertrauenswürdigen Quellen.
• Falls Sie momentan SKS- oder andere nicht vertrauenswürdige Schlüsselserver verwenden, deaktivieren bzw. löschen Sie die entsprechenden Einträge in ihrer Konfiguration.
• Führen Sie tägliche Datensicherungen ihrer Schlüssel durch.
Die tägliche Datensicherung kann bereits seit gpg4o v5.1 (5.1.18.8514, 11.07.2017) auf der Seite „Datensicherung und Wiederherstellung“ im Abschnitt „Automatische Sicherung der Schlüssel“ in den gpg4o-Einstellungen aktiviert werden.
Für Anwender von gpg4o existiert die Funktion der automatischen Sicherung, mit der irrtümlich vorgenommene Importe vergifteter Schlüssel rückgängig gemacht werden können. Details dazu finden sich im gpg4o-Handbuch ab Seite 70:
https://download.giepa.de/gpg4o/latest/release/Handbuch_gpg4o_DE.pdf
Kommentare