gpg auto-locate-key selecciona la clave revocada

tag-icon tag-icon gnupg openpgp
gpg auto-locate-key selecciona la clave revocada

Acabo de configurar WKD en mi servidor y

gpg -v --auto-key-locate clear,wkd,nodefault --locate-key [email protected]

funciona como se esperaba para la mayoría de mis combinaciones de uid/clave, excepto para una dirección ([correo electrónico protegido]) que está vinculado tanto a una clave actual como a una revocada. El resultado del comando anterior se ve así:

gpg: Note: RFC4880bis features are enabled.
gpg: using pgp trust model
gpg: pub  rsa4096/68FD03F8C6AB1DE4 2016-06-15  Old User <[email protected]>
gpg: Note: signature key 68FD03F8C6AB1DE4 expired Mon Jun 14 18:12:44 2021 CEST
gpg: key 68FD03F8C6AB1DE4: "Old Nickname <[email protected]>" not changed
gpg: pub  ed25519/7CD4656792B3A1F9 2022-06-06  Old User <[email protected]>
gpg: key 7CD4656792B3A1F9: "Old User <[email protected]>" not changed
gpg: Total number processed: 2
gpg:              unchanged: 2
gpg: auto-key-locate found fingerprint xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
gpg: Note: signature key 68FD03F8C6AB1DE4 expired Mon Jun 14 18:12:44 2021 CEST
gpg: automatically retrieved '[email protected]' via WKD
pub   rsa4096 2016-06-15 [SC] [revoked: 2022-06-07]
      51585E1318770F501D3CBDE968FD03F8C6AB1DE4
uid           [ revoked] Old Nickname <[email protected]>
uid           [ revoked] Old User <[email protected]>
uid           [ revoked] Old Nickname2 <[email protected]>
sub   rsa4096 2016-06-15 [E] [revoked: 2022-06-07]

A pesar de[correo electrónico protegido]es el uid principal para la nueva clave, gpg muestra el otro uid para esta clave ([correo electrónico protegido]). Esto es extraño, pero irrelevante. Pero luego gpg procede a seleccionar la clave revocada que de alguna manera está disponible a través de WKD.

La prueba WKD enhttps://metacode.biz/openpgp/web-key-directoryofrece resultados similares, pero muestra las huellas digitales de la clave actual y la revocada.

Dos preguntas:

  1. ¿Qué servidor WKD aloja mi clave revocada de modo que tenga prioridad sobre mi propio servidor WKD en dominio.com?
  2. ¿Por qué gpg selecciona una clave caducada y revocada en lugar de una clave válida?

Gracias, enero

Respuesta1

Problema resuelto: seguí las instrucciones en https://shibumi.dev/posts/how-to-setup-your-own-wkd-server/y exportó involuntariamente todas las claves para la dirección (gpg --no-armor --export $uid) en lugar de especificar la identificación de la clave.

Ahora exporté/publiqué solo la clave válida (gpg --no-armor --export $keyid), y todo está bien.

información relacionada