私はサーバー上でWKDを設定しましたが、
gpg -v --auto-key-locate clear,wkd,nodefault --locate-key [email protected]
1つのアドレスを除いて、ほとんどのuid/キーの組み合わせで期待どおりに動作します([メールアドレス]) は、現在のキーと取り消されたキーの両方にリンクされています。上記のコマンドの出力は次のようになります。
gpg: Note: RFC4880bis features are enabled.
gpg: using pgp trust model
gpg: pub rsa4096/68FD03F8C6AB1DE4 2016-06-15 Old User <[email protected]>
gpg: Note: signature key 68FD03F8C6AB1DE4 expired Mon Jun 14 18:12:44 2021 CEST
gpg: key 68FD03F8C6AB1DE4: "Old Nickname <[email protected]>" not changed
gpg: pub ed25519/7CD4656792B3A1F9 2022-06-06 Old User <[email protected]>
gpg: key 7CD4656792B3A1F9: "Old User <[email protected]>" not changed
gpg: Total number processed: 2
gpg: unchanged: 2
gpg: auto-key-locate found fingerprint xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
gpg: Note: signature key 68FD03F8C6AB1DE4 expired Mon Jun 14 18:12:44 2021 CEST
gpg: automatically retrieved '[email protected]' via WKD
pub rsa4096 2016-06-15 [SC] [revoked: 2022-06-07]
51585E1318770F501D3CBDE968FD03F8C6AB1DE4
uid [ revoked] Old Nickname <[email protected]>
uid [ revoked] Old User <[email protected]>
uid [ revoked] Old Nickname2 <[email protected]>
sub rsa4096 2016-06-15 [E] [revoked: 2022-06-07]
それでも[メールアドレス]は新しいキーのプライマリuidです。gpgはこのキーの別のuidを表示します([メールアドレス])。これは奇妙ですが、無関係です。しかし、その後 gpg は、WKD 経由で何らかの方法で入手できる取り消されたキーの選択に進みます。
WKDテストhttps://metacode.biz/openpgp/web-key-directory同様の結果が得られますが、現在のキーと取り消されたキーの両方のフィンガープリントが表示されます。
2つの質問:
- どの WKD サーバーが、domain.com にある自分の WKD サーバーよりも優先されるように、取り消されたキーをホストしていますか?
- gpg が有効なキーよりも期限切れで取り消されたキーを選択するのはなぜですか?
ありがとう、ジャン
答え1
問題は解決しました: 次の指示に従いました https://shibumi.dev/posts/how-to-setup-your-own-wkd-server/、キー ID を指定する代わりに、アドレスのすべてのキーを意図せずにエクスポートしました (gpg --no-armor --export $uid)。
これで、有効なキーのみをエクスポート/公開しました (gpg --no-armor --export $keyid)。すべて正常です。