gpg auto-locate-key wählt widerrufenen Schlüssel aus

tag-icon tag-icon gnupg openpgp
gpg auto-locate-key wählt widerrufenen Schlüssel aus

Ich habe gerade WKD auf meinem Server konfiguriert und

gpg -v --auto-key-locate clear,wkd,nodefault --locate-key [email protected]

funktioniert wie erwartet für die meisten meiner UID/Schlüssel-Kombinationen, mit Ausnahme einer Adresse ([email geschützt]), der sowohl mit einem aktuellen als auch einem widerrufenen Schlüssel verknüpft ist. Die Ausgabe des obigen Befehls sieht folgendermaßen aus:

gpg: Note: RFC4880bis features are enabled.
gpg: using pgp trust model
gpg: pub  rsa4096/68FD03F8C6AB1DE4 2016-06-15  Old User <[email protected]>
gpg: Note: signature key 68FD03F8C6AB1DE4 expired Mon Jun 14 18:12:44 2021 CEST
gpg: key 68FD03F8C6AB1DE4: "Old Nickname <[email protected]>" not changed
gpg: pub  ed25519/7CD4656792B3A1F9 2022-06-06  Old User <[email protected]>
gpg: key 7CD4656792B3A1F9: "Old User <[email protected]>" not changed
gpg: Total number processed: 2
gpg:              unchanged: 2
gpg: auto-key-locate found fingerprint xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
gpg: Note: signature key 68FD03F8C6AB1DE4 expired Mon Jun 14 18:12:44 2021 CEST
gpg: automatically retrieved '[email protected]' via WKD
pub   rsa4096 2016-06-15 [SC] [revoked: 2022-06-07]
      51585E1318770F501D3CBDE968FD03F8C6AB1DE4
uid           [ revoked] Old Nickname <[email protected]>
uid           [ revoked] Old User <[email protected]>
uid           [ revoked] Old Nickname2 <[email protected]>
sub   rsa4096 2016-06-15 [E] [revoked: 2022-06-07]

Wenngleich[email geschützt]die primäre UID für den neuen Schlüssel ist, zeigt gpg die andere UID für diesen Schlüssel an ([email geschützt]). Das ist merkwürdig, aber irrelevant. Aber dann wählt gpg den widerrufenen Schlüssel aus, der irgendwie über WKD verfügbar ist.

Der WKD-Test beihttps://metacode.biz/openpgp/web-key-directoryliefert ähnliche Ergebnisse, zeigt aber die Fingerabdrücke sowohl des aktuellen als auch des widerrufenen Schlüssels an.

Zwei Fragen:

  1. Auf welchem ​​WKD-Server wird mein widerrufener Schlüssel gehostet, sodass er Vorrang vor meinem eigenen WKD-Server bei domain.com hat?
  2. Warum wählt GPG einen abgelaufenen und widerrufenen Schlüssel anstelle eines gültigen Schlüssels?

Danke, Jan

Antwort1

Problem gelöst: Ich habe die Anweisungen unter befolgt https://shibumi.dev/posts/wie-Sie-Ihren-eigenen-wkd-server-einrichten/, und hat versehentlich alle Schlüssel für die Adresse exportiert (gpg --no-armor --export $uid), anstatt die Schlüssel-ID anzugeben.

Jetzt habe ich nur den gültigen Schlüssel exportiert/veröffentlicht (gpg --no-armor --export $keyid) und alles ist gut.

verwandte Informationen