1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
|
<define-tag moreinfo>Zwei Fehler in GnuPG wurden kürzlich gefunden:
<ol>
<li>Falsche korrekte Anzeigen, wenn abgelöste Signaturen überprüft werden
<p>Es gibt ein Problem in der Art, wie gpg abgelöste Signaturen prüft, was zu
falsch korrekten Anzeigen führen kann. Abgelöste Signaturen können mit einem
Befehl wie diesem geprüft werden: <code>gpg --verify abgelöste.sig <
meineDaten</code>
<p>Wenn jemand abgelöste.sig mit einem signierten Text ersetzt (d.h. nicht
einer abgelösten Signatur) und dann meineDaten modifiziert, würde gpg immer
noch von einer korrekt überprüften Signatur berichten.
<p>Um dies zu beheben, wurde die Art, in der die --verify Option funktioniert,
geändert: Sie benötigt nun zwei Optionen, wenn abgelöste Signaturen geprüft
werden: Sowohl die Datei mit der abgelösten Signatur als auch die Datei mit
den Daten, die geprüft werden sollen. Bitte beachten Sie, dass diese Änderung
mit älteren Versionen nicht kompatibel ist!
<li>Geheime Schlüssel werden stillschweigend importiert
<p>Florian Weimer entdeckte, dass gpg geheime Schlüssel vom Schlüssel-Server
importieren würde. Da gpg öffentliche Schlüssel, die zu bekannten geheimen
Schlüsseln gehören, absolut vertraut, könnte ein Angreifer dies dazu
verwenden, das Web-of-Trust zu umgehen.
<p>Um dies zu beheben, wurde eine neue Option zu gpg hinzugefügt, um ihm zu
zu erlauben, geheime Schlüssel zu importieren: --allow-key-import.
</ol></define-tag>
<define-tag description>Betrügen mit abgelösten Signaturen, Umgehen des Web-of-Trust</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001225b.data'
#use wml::debian::translation-check translation="638ee10e8a5b6508526f43628582776c6888d874"
|