Я создал новый ключ GPG (подключ rsa + rsa), назовем его key1 и загрузил его на сервер ключей. У него есть две жидкости.

Позже я подписал этот новый ключ другим ключом (назовем его key2) и загрузил изменения. Таким образом, ключ теперь имеет следующие подписи:

first uid:
    signed by key1
    signed by key2
second uid:
    signed by key1
    signed by key2
key1 - subkey;
    signed by key1

Это все как и ожидалось. Позже я обновил свои ключи от сервера ключей, и key1 получил две новые подписи. Те две подписи, где дубликаты этих ключей по key1, поэтому ключ теперь выглядит так:

first uid:
    signed by key1
    signed by key2
    signed by key1 <- duplicate
second uid:
    signed by key1
    signed by key2
    signed by key1
key1 - subkey;
    signed by key1

Почему сервер ключей дублирует эти подписи? Они служат какой-то специальной цели, или это просто ошибка?

1 ответ1

1

Предполагая, что вы ссылаетесь на подписи "sig 3", указанные для ключа, который вы сделали в тот же день, что и в этом посте (я проверил домен в вашем профиле на серверах), все должно быть в порядке, и вряд ли это будут серверы ключей, фактически добавляющие или репликация существующей подписи.

Скорее всего, это будет указанием на любые изменения, внесенные в ключ после генерации (например, изменение порядка предпочтений шифров, добавление или удаление шифров и дайджестов, добавление или отзыв подключей, добавление или отзыв UID и т.д.). Когда в ключ вносится подобное изменение, в том числе при его создании, эти данные подписываются ключом сертификации (возможно, с определенным уровнем доверия, хотя некоторые данные должны быть самозаверяющими на уровне 3 ("сиг 3").). Когда это происходит, каждый UID на ключе в то время получает еще одну "самоподпись". Вы можете увидеть полную информацию, запустив ключ через pgpdump или gpg --list-packages.

Если вы используете pgpdump и перенаправляете вывод в текстовый файл, вы можете прочитать каждое изменение в ключе в хронологическом порядке, начиная снизу и двигаясь вверх и вперед (обычно, иногда вещи кажутся неуместными или с более нормальным верхом вниз). , но так как все изменения помечены временем, это должно быть легко отработано). Чтобы ограничить вывод только внесенными изменениями, вы можете экспортировать минимальную или чистую версию ключа с помощью:

# Normal export:
gpg -o mykey.gpg --export 0xDEADBEEF
gpg -o mykey.asc -a --export 0xDEADBEEF
#
# Clean export:
gpg -o mykey.gpg --export --export-options export-clean 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-clean 0xDEADBEEF
#
# Minimal export (smallest):
gpg -o mykey.gpg --export --export-options export-minimal 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-minimal 0xDEADBEEF

Я рекомендую использовать последний (с расширением .gpg, потому что вы также можете использовать их как отдельные файлы ключей, если вы действительно этого хотите).

Мой ключ, например, включает изменение предпочтений шифра пару раз, когда новая информация обнаружила недостатки в 3DES и CAST5. Эти изменения хорошо видны в pgpdump, но при использовании --list-sigs все, что показано, это дополнительные сигнатуры "sig 3" в конце каждой подписи UID в списке.

Я не слишком внимательно изучил ваш ключ, но, вероятно, это просто случай, когда вы сохранили какое-то изменение или что-то в ключе.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .