Es gibt ein Problem in der Art, wie gpg abgelöste Signaturen prüft, was zu
falsch korrekten Anzeigen führen kann. Abgelöste Signaturen können mit einem
Befehl wie diesem geprüft werden: gpg --verify abgelöste.sig <
meineDaten
Wenn jemand abgelöste.sig mit einem signierten Text ersetzt (d.h. nicht einer abgelösten Signatur) und dann meineDaten modifiziert, würde gpg immer noch von einer korrekt überprüften Signatur berichten.
Um dies zu beheben, wurde die Art, in der die --verify Option funktioniert, geändert: Sie benötigt nun zwei Optionen, wenn abgelöste Signaturen geprüft werden: Sowohl die Datei mit der abgelösten Signatur als auch die Datei mit den Daten, die geprüft werden sollen. Bitte beachten Sie, dass diese Änderung mit älteren Versionen nicht kompatibel ist!
Florian Weimer entdeckte, dass gpg geheime Schlüssel vom Schlüssel-Server importieren würde. Da gpg öffentliche Schlüssel, die zu bekannten geheimen Schlüsseln gehören, absolut vertraut, könnte ein Angreifer dies dazu verwenden, das Web-of-Trust zu umgehen.
Um dies zu beheben, wurde eine neue Option zu gpg hinzugefügt, um ihm zu zu erlauben, geheime Schlüssel zu importieren: --allow-key-import.