gpg keyserver duplica firmas en mi clave

0

Creé una nueva clave GPG (rsa + rsa subclave), llamémosla clave1 y la cargué en el servidor de claves. Tiene dos uids.

Más tarde, firmé esta nueva clave con otra clave (llamémosla clave2) y cargué el cambio. Entonces la clave ahora tiene las siguientes firmas:

first uid:
    signed by key1
    signed by key2
second uid:
    signed by key1
    signed by key2
key1 - subkey;
    signed by key1

Todo esto es como se esperaba. Más tarde, actualicé mis claves del servidor de claves y key1 obtuvo dos nuevas firmas. Esas dos firmas eran duplicados de esos por clave1, por lo que la clave ahora se ve así:

first uid:
    signed by key1
    signed by key2
    signed by key1 <- duplicate
second uid:
    signed by key1
    signed by key2
    signed by key1
key1 - subkey;
    signed by key1

¿Por qué el servidor de claves duplica esas firmas? ¿Sirven para algún propósito especial, o es solo un error?

Kritzefitz
fuente

Respuestas:

1

Suponiendo que se refiera a las firmas "sig 3" enumeradas para la clave que hizo el mismo día que esta publicación (verifiqué el dominio en su perfil en los servidores), debería estar bien y es poco probable que los servidores de claves realmente agreguen o replicar una firma existente.

Es mucho más probable que sea una indicación de cualquier cambio realizado en la clave después de la generación (por ejemplo, cambiar el orden de preferencia de cifrado, agregar o eliminar cifrados y resúmenes, agregar o revocar subclaves, agregar o revocar UID, etc.). Cuando se realiza un cambio como este en una clave, incluso cuando se genera la clave, esos datos están firmados por la clave de certificación (opcionalmente con un nivel de confianza específico, aunque algunos datos deben estar autofirmados en el nivel 3 ("sig 3" Cuando esto sucede, cada UID de la clave en ese momento recibe otra "autofirma". Puede ver los detalles completos ejecutando la clave a través de pgpdump o gpg --list-packets.

Si usa pgpdump y canaliza la salida a un archivo de texto, puede leer cada cambio en su clave cronológicamente comenzando en la parte inferior y moviéndose hacia arriba y hacia adelante (por lo general, a veces las cosas parecen guardarse fuera de lugar o con la parte superior más normal hacia abajo , pero dado que todos los cambios están marcados con el tiempo, debería resolverse fácilmente). Para limitar la salida solo a los cambios que ha realizado, puede exportar una versión mínima o limpia de la clave con:

# Normal export:
gpg -o mykey.gpg --export 0xDEADBEEF
gpg -o mykey.asc -a --export 0xDEADBEEF
#
# Clean export:
gpg -o mykey.gpg --export --export-options export-clean 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-clean 0xDEADBEEF
#
# Minimal export (smallest):
gpg -o mykey.gpg --export --export-options export-minimal 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-minimal 0xDEADBEEF

Recomiendo usar el último (con la extensión .gpg, porque también puede usarlos como archivos de llavero separados si realmente lo desea).

Mi clave, por ejemplo, incluye cambios de preferencia de cifrado un par de veces a medida que salía a la luz nueva información sobre fallas en 3DES y CAST5. Esos cambios son claramente visibles en pgpdump, pero cuando se usa --list-sigs, todo lo que se muestra son firmas adicionales "sig 3" al final de las firmas listadas de cada UID.

No he examinado tu clave demasiado de cerca, pero probablemente sea solo un caso de que guardes algún cambio o algo en la clave.

Ben
fuente