gpg-agent recusa chaves SSH com o relatório ssh-add “operação recusada pelo agente”

Estou usando o openssh7.5p1 e o gnupg 2.1.21 no arch linux (essas são as versões padrão que vêm com o arch). Eu gostaria de usar gpg-agent como um agente ssh. Eu coloquei o seguinte no meu ~/.gnupg/gpg-agent.conf :

pinentry-program /usr/bin/pinentry-qt
enable-ssh-support

Arch inicia automaticamente um agente-gpg do systemd, então eu configurei

export SSH_AUTH_SOCK="$XDG_RUNTIME_DIR/gnupg/S.gpg-agent.ssh"

Quando executo ssh-add -l , ele não gera identidades e ps informa um gpg-agent --supervised do processo como seria de esperar.

Infelizmente, quando executo ssh-add , não importa o tipo de chave, não funciona. Aqui está um exemplo de como eu tentei o dsa:

$ ssh-keygen -f testkey -t dsa -N ''
Generating public/private dsa key pair.
Your identification has been saved in testkey.
Your public key has been saved in testkey.pub.
$ ssh-add testkey
Could not add identity "testkey": agent refused operation

Todas as outras funções gpg funcionam corretamente (criptografando / descriptografando / assinando). Além disso, as chaves que eu gero funcionam bem se eu usá-las diretamente com o ssh, e elas funcionam corretamente se eu executar o ssh-agent que vem com o openssh.

A documentação diz que ssh-add deve adicionar chaves a ~/.gnupg/sshcontrol , mas obviamente nada está acontecendo.

Minha pergunta: Qual é a maneira mais fácil de carregar uma chave gerada por ssh-keygen do openssh em gpg-agent , e alguém pode cortar e colar uma sessão de terminal mostrando como isso funciona?