Hay un problema en la forma en la que gpg verifica las firmas separadas
que puede conducir a falsos positivos. Las firmas separadas puede ser
verificadas con un comando como este: gpg --verify detached.sig <
misdatos
Si alguien reemplazara detached.sig con un texto firmado (por ejemplo, una firma no separada) y luego modificara misdatos gpg aún informaría que que se ha verificado con éxito la firma.
Para arreglar esto, se ha cambiado la manera en la ue funciona la opción --verify: Ahora necesita dos opciones al verificar las firmas separadas: Tanto el archivo con la firma separada como el archivo con los datos a verificar. Fíjese en que esto lo hace incompatible con versiones anteriores.
Florian Weimer descubrió que gpg importaba claves secretas de key-servers. Ya que gpg considera las claves públicas correspondientes a las claves secretas conocidas confiadas en última instancia, un atacante puede usar esto para evadir la web de confianza.
Para arreglar esto, se ha añadido una nueva opción para decirle a gpg que se le permite importar claves secretas: --allow-key-import.