Ich habe einen neuen GPG-Schlüssel (rsa + rsa-Unterschlüssel) erstellt, nennen wir ihn key1, und ihn auf den Schlüsselserver hochgeladen. Er hat zwei UIDs.
Später habe ich diesen neuen Schlüssel mit einem anderen Schlüssel (nennen wir ihn Schlüssel2) signiert und die Änderung hochgeladen. Der Schlüssel hat jetzt also die folgenden Signaturen:
first uid:
signed by key1
signed by key2
second uid:
signed by key1
signed by key2
key1 - subkey;
signed by key1
Das ist alles wie erwartet. Später habe ich meine Schlüssel vom Schlüsselserver aktualisiert und key1 hat zwei neue Signaturen erhalten. Diese beiden Signaturen waren Duplikate der Signaturen von key1, sodass der Schlüssel jetzt so aussieht:
first uid:
signed by key1
signed by key2
signed by key1 <- duplicate
second uid:
signed by key1
signed by key2
signed by key1
key1 - subkey;
signed by key1
Warum dupliziert der Schlüsselserver diese Signaturen? Dienen sie einem besonderen Zweck oder handelt es sich nur um einen Fehler?
Antwort1
Vorausgesetzt, Sie beziehen sich auf die „Sig 3“-Signaturen, die für den Schlüssel aufgelistet sind, den Sie am selben Tag wie diesen Beitrag erstellt haben (ich habe die Domäne in Ihrem Profil auf den Servern überprüft), sollte alles in Ordnung sein und es ist unwahrscheinlich, dass die Schlüsselserver tatsächlich eine vorhandene Signatur hinzufügen oder replizieren.
Es ist viel wahrscheinlicher, dass es sich um einen Hinweis auf Änderungen handelt, die nach der Generierung am Schlüssel vorgenommen wurden (z. B. Ändern der Chiffrierreihenfolge, Hinzufügen oder Entfernen von Chiffren und Digests, Hinzufügen oder Widerrufen von Unterschlüsseln, Hinzufügen oder Widerrufen von UIDs usw.). Wenn eine solche Änderung an einem Schlüssel vorgenommen wird, auch wenn der Schlüssel generiert wird, werden diese Daten mit dem Zertifizierungsschlüssel signiert (optional mit einer bestimmten Vertrauensstufe, obwohl einige Daten auf Stufe 3 („Sig 3“) selbst signiert sein müssen). Wenn dies geschieht, erhält jede UID auf dem Schlüssel zu diesem Zeitpunkt eine weitere „Selbstsignatur“. Sie können alle Details anzeigen, indem Sie den Schlüssel über pgpdump oder gpg --list-packets ausführen.
Wenn Sie pgpdump verwenden und die Ausgabe in eine Textdatei umleiten, können Sie jede Änderung an Ihrem Schlüssel chronologisch lesen, indem Sie unten beginnen und sich nach oben und vorne bewegen (normalerweise scheinen Dinge manchmal an der falschen Stelle oder in der üblichen Reihenfolge von oben nach unten gespeichert zu sein, aber da alle Änderungen mit einem Zeitstempel versehen sind, sollte das leicht herauszufinden sein). Um die Ausgabe auf die Änderungen zu beschränken, die Sie vorgenommen haben, können Sie eine minimale oder saubere Version des Schlüssels exportieren mit:
# Normal export:
gpg -o mykey.gpg --export 0xDEADBEEF
gpg -o mykey.asc -a --export 0xDEADBEEF
#
# Clean export:
gpg -o mykey.gpg --export --export-options export-clean 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-clean 0xDEADBEEF
#
# Minimal export (smallest):
gpg -o mykey.gpg --export --export-options export-minimal 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-minimal 0xDEADBEEF
Ich empfehle die Verwendung der letzten (mit der Erweiterung .gpg, da Sie diese auch als separate Schlüsselbunddateien verwenden können, wenn Sie das wirklich möchten).
Mein Schlüssel enthält beispielsweise mehrmals Änderungen der Verschlüsselungseinstellungen, als neue Informationen über Fehler in 3DES und CAST5 ans Licht kamen. Diese Änderungen sind in pgpdump deutlich sichtbar, aber bei Verwendung von --list-sigs werden nur zusätzliche „Sig 3“-Signaturen am Ende der aufgelisteten Signaturen jeder UID angezeigt.
Ich habe deinen Schlüssel nicht näher untersucht, aber vermutlich hast du nur etwas Kleingeld oder so etwas auf dem Schlüssel aufbewahrt.