|
gnupgパッケージのアップデート
 |
セキュリティ・アドバイス |
|
概要:
Updated gnupg packages are now available for Red Hat Linux. These updates
disable the ability to generate ElGamal keys (used for both signing and
encrypting) and disable the ability to use ElGamal public keys for
encrypting data.
GnuPG is a utility for encrypting data and creating digital signatures.
Phong Nguyen identified a severe bug in the way GnuPG creates and uses
ElGamal keys, when those keys are used both to sign and encrypt data. This
vulnerability can be used to trivially recover the private key. While the
default behavior of GnuPG when generating keys does not lead to the
creation of unsafe keys, by overriding the default settings an unsafe key
could have been created.
If you are using ElGamal keys, you should revoke those keys immediately.
The packages included in this update do not make ElGamal keys safe to use;
they merely include a patch by David Shaw that disables functions that
would generate or use ElGamal keys.
To determine if your key is affected, run the following command to obtain a
list of secret keys that you have on your secret keyring:
gpg --list-secret-keys
The output of this command includes both the size and type of the keys
found, and will look similar to this example:
/home/example/.gnupg/secring.gpg
----------------------------------------------------
sec 1024D/01234567 2000-10-17 Example User <example@example.com>
uid Example User <example@example.com>
The key length, type, and ID are listed together, separated by a forward
slash. In the example output above, the key's type is "D" (DSA, sign
and encrypt). Your key is unsafe if and only if the key type is "G"
(ElGamal, sign and encrypt). In the above example, the secret key is safe
to use, while the secret key in the following example is not:
/home/example/.gnupg/secring.gpg
----------------------------------------------------
sec 1024G/01234567 2000-10-17 Example User <example@example.com>
uid Example User <example@example.com>
For more details regarding this issue, as well as instructions on how to
revoke any keys that are unsafe, refer to the advisory available from the
GnuPG web site:
http://www.gnupg.org/
アップデート・パッケージ:
解決法:
このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:
rpm -Fvh [filename]
[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。
up2date
このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。
参照:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0971
http://lists.gnupg.org/pipermail/gnupg-announce/2003q4/000276.html
http://lists.gnupg.org/pipermail/gnupg-users/2003-November/020779.html
http://lists.gnupg.org/pipermail/gnupg-announce/2003q4/000277.html
キーワード:
elgamal, encrypt, gnupg, sign
ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html
各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。
|
