新しい GPG キー (rsa + rsa サブキー) を作成し、これを key1 と呼び、キー サーバーにアップロードしました。これには 2 つの uid があります。
その後、この新しいキーを別のキー (key2 と呼びます) で署名し、変更をアップロードしました。これで、キーの署名は次のようになりました。
first uid:
signed by key1
signed by key2
second uid:
signed by key1
signed by key2
key1 - subkey;
signed by key1
これはすべて予想通りです。その後、キーサーバーからキーを更新し、key1 に 2 つの新しい署名が取得されました。これら 2 つの署名は key1 の署名の複製であるため、キーは次のようになります。
first uid:
signed by key1
signed by key2
signed by key1 <- duplicate
second uid:
signed by key1
signed by key2
signed by key1
key1 - subkey;
signed by key1
キーサーバーがこれらの署名を複製するのはなぜですか? それらは特別な目的を果たすのでしょうか、それとも単なるバグでしょうか?
答え1
あなたがこの投稿と同じ日に作成したキーにリストされている「sig 3」署名について言及していると仮定すると (サーバー上のあなたのプロファイルのドメインを確認しました)、それは問題ないはずであり、キーサーバーが実際に既存の署名を追加または複製している可能性は低いです。
これは、生成後にキーに加えられた変更 (暗号の優先順位の変更、暗号とダイジェストの追加または削除、サブキーの追加または取り消し、UID の追加または取り消しなど) を示す可能性がはるかに高くなります。キーの生成時を含め、このような変更がキーに加えられると、そのデータは証明書キーによって署名されます (オプションで特定の信頼レベルで署名されますが、一部のデータはレベル 3 ("sig 3") で自己署名する必要があります)。これが発生すると、その時点でのキーの各 UID は別の "自己署名" を受け取ります。pgpdump または gpg --list-packets でキーを実行すると、詳細をすべて確認できます。
pgpdump を使用して出力をテキスト ファイルにパイプすると、下から上、前へと移動することで、キーに対する各変更を時系列で読み取ることができます (通常、場所がずれていたり、より一般的な上から下への保存方法で保存されているように見えることがありますが、すべての変更にタイムスタンプが付けられているため、簡単に解決できます)。出力を変更内容だけに制限するには、次のようにしてキーの最小バージョンまたはクリーン バージョンをエクスポートします。
# Normal export:
gpg -o mykey.gpg --export 0xDEADBEEF
gpg -o mykey.asc -a --export 0xDEADBEEF
#
# Clean export:
gpg -o mykey.gpg --export --export-options export-clean 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-clean 0xDEADBEEF
#
# Minimal export (smallest):
gpg -o mykey.gpg --export --export-options export-minimal 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-minimal 0xDEADBEEF
最後のものを使用することをお勧めします (.gpg 拡張子付き。必要に応じて、これらを個別のキーリング ファイルとして使用することもできます)。
たとえば、私のキーには、3DES と CAST5 の欠陥に関する新しい情報が明らかになったため、暗号設定が数回変更されています。これらの変更は pgpdump で明確に表示されますが、--list-sigs を使用すると、各 UID のリストされた署名の末尾に追加される「sig 3」署名のみが表示されます。
あなたのキーを詳しく調べたわけではありませんが、おそらくキーに小銭か何かを貯めているだけだと思います。