Det finns ett problem i det sätt gpg kontrollerar separata signaturer
(detached signatures
), vilket kan leda till falska positiva
resultat.
Separata signaturer kan verifieras med en kommandorad på denna form:
gpg --verify separat.sig < minadata
Om någon ersatte separat.sig med en signerad text (dvs. inte en separat signatur) och sedan modifierade minadata skulle gpg fortfarande rapportera att signaturen verifierats korrekt.
För att rätta detta har sättet --verify-flaggan arbetar på ändrats: Den behöver nu två flaggor när separata signaturer verifieras: Både filen med den separata signaturen och filen med det data som skall verifieras. Notera att detta gör den inkompatibel med äldre versioner!
Florian Weimer upptäckte att gpg importerar hemliga nycklar från
nyckelservrar.
Eftersom gpg anser att öppna nycklar som motsvarar kända hemliga nycklar att
vara ovedersägligen betrodda kan en angripare använda detta för att gå
runt pålitlighetsnätverket (web of trust
).
För att rätta detta har en ny flagga lagts till för att tala om för gpg att den har tillåtelse att importera hemliga nycklar: --allow-key-import.