gpg keyserver duplica assinaturas na minha chave

0

Eu criei uma nova chave GPG (subchave rsa + rsa), vamos chamá-la de key1 e carregada no servidor de chaves. Tem dois uids.

Mais tarde, assinei essa nova chave com outra chave (vamos chamá-la de chave2) e carreguei a alteração. Então a chave agora tem as seguintes assinaturas:

first uid:
    signed by key1
    signed by key2
second uid:
    signed by key1
    signed by key2
key1 - subkey;
    signed by key1

Isso é tudo como esperado. Mais tarde, atualizei minhas chaves do servidor de chaves e a tecla 1 recebeu duas novas assinaturas. Aquelas duas assinaturas onde duplicatas daquelas por key1, então a chave agora se parece com isto:

first uid:
    signed by key1
    signed by key2
    signed by key1 <- duplicate
second uid:
    signed by key1
    signed by key2
    signed by key1
key1 - subkey;
    signed by key1

Por que o servidor de chaves duplica essas assinaturas? Eles servem alguma finalidade especial, ou isso é apenas um bug?

    
por Kritzefitz 15.08.2014 / 23:03

1 resposta

1

Assumindo que você está se referindo às assinaturas "sig 3" listadas para a chave que você fez no mesmo dia que este post (eu verifiquei o domínio em seu perfil nos servidores), ele deve estar bem e é improvável que seja o servidores de chaves na verdade adicionando ou replicando uma assinatura existente.

É muito mais provável que seja uma indicação de quaisquer alterações feitas na seguinte geração de chave (por exemplo, alterar a ordem de preferência de codificação, adicionar ou remover cifras e resumos, adicionar ou revogar subchaves, adicionar ou revogar UIDs etc.). Quando uma alteração como essa é feita em uma chave, inclusive quando a chave é gerada, esses dados são assinados pela chave de certificação (opcionalmente com um nível de confiança específico, embora alguns dados devam ser autoassinados no nível 3 ("sig 3"). Quando isso acontece, cada UID na chave nesse momento recebe outra "assinatura própria". Você pode ver todos os detalhes executando a chave através do pgpdump ou gpg --list-packets.

Se você usa o pgpdump e canaliza a saída para um arquivo de texto, você pode ler cada alteração na sua chave cronologicamente iniciando na parte inferior e se movendo para cima e para frente (geralmente, às vezes, as coisas parecem estar fora do lugar ou com mais normal de cima para baixo, mas como todas as alterações são registradas, ela deve ser facilmente trabalhada). Para limitar a saída apenas às alterações feitas, você pode exportar uma versão mínima ou limpa da chave com:

# Normal export:
gpg -o mykey.gpg --export 0xDEADBEEF
gpg -o mykey.asc -a --export 0xDEADBEEF
#
# Clean export:
gpg -o mykey.gpg --export --export-options export-clean 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-clean 0xDEADBEEF
#
# Minimal export (smallest):
gpg -o mykey.gpg --export --export-options export-minimal 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-minimal 0xDEADBEEF

Eu recomendo usar o último (com a extensão .gpg, porque você também pode usá-los como arquivos de chaveiro separados, se você realmente quiser).

Minha chave, por exemplo, inclui alterações de preferência de codificação algumas vezes, conforme surgiram novas informações sobre falhas em 3DES e CAST5. Essas mudanças são claramente visíveis no pgpdump, mas ao usar --list-sigs tudo o que é mostrado é assinaturas adicionais "sig3" no final de cada assinatura UID.

Eu não examinei sua chave muito de perto, mas provavelmente é apenas um caso de você salvar alguma mudança ou algo do tipo.

    
por 19.06.2015 / 12:49