새 GPG 키(rsa + rsa 하위 키)를 생성하고 이를 key1이라고 부르고 키 서버에 업로드하겠습니다. 두 개의 UI가 있습니다.
나중에 이 새 키를 다른 키(key2라고 부르겠습니다)로 서명하고 변경 사항을 업로드했습니다. 이제 키에는 다음과 같은 서명이 있습니다.
first uid:
signed by key1
signed by key2
second uid:
signed by key1
signed by key2
key1 - subkey;
signed by key1
이것은 모두 예상과 같습니다. 나중에 키서버에서 키를 새로 고쳤고 key1이 두 개의 새로운 서명을 받았습니다. key1의 서명과 중복되는 두 개의 서명이므로 이제 키는 다음과 같습니다.
first uid:
signed by key1
signed by key2
signed by key1 <- duplicate
second uid:
signed by key1
signed by key2
signed by key1
key1 - subkey;
signed by key1
키서버가 해당 서명을 복제하는 이유는 무엇입니까? 특별한 목적을 제공합니까, 아니면 이것은 단지 버그입니까?
답변1
이 게시물과 같은 날 만든 키에 대해 나열된 "sig 3" 서명을 참조한다고 가정하면(서버의 프로필에서 도메인을 확인했습니다) 문제가 없을 것입니다. 키 서버가 실제로 추가하는 것은 아닐 것입니다. 또는 기존 서명을 복제합니다.
이는 생성 후 키에 대한 변경 사항(예: 암호 기본 설정 순서 변경, 암호 및 다이제스트 추가 또는 제거, 하위 키 추가 또는 취소, UID 추가 또는 취소 등)을 나타낼 가능성이 훨씬 더 높습니다. 키가 생성되는 경우를 포함하여 키에 이와 같은 변경이 발생하면 해당 데이터는 인증 키로 서명됩니다(선택적으로 특정 신뢰 수준으로, 일부 데이터는 수준 3("sig 3")에서 자체 서명되어야 함) ) 이 경우 해당 키의 각 UID는 또 다른 "자체 서명"을 받습니다. pgpdump 또는 gpg --list-packets를 통해 키를 실행하면 전체 세부 정보를 볼 수 있습니다.
pgpdump를 사용하고 출력을 텍스트 파일로 파이프하면 맨 아래에서 시작하여 위쪽 및 앞으로 이동하여 키에 대한 각 변경 사항을 시간순으로 읽을 수 있습니다(일반적으로 항목이 제자리에 없거나 더 일반적인 위에서 아래로 저장되는 것처럼 보입니다). , 그러나 모든 변경 사항에는 타임스탬프가 표시되므로 쉽게 해결할 수 있습니다.) 변경한 내용만 출력하도록 제한하려면 다음을 사용하여 키의 최소 버전이나 클린 버전을 내보낼 수 있습니다.
# Normal export:
gpg -o mykey.gpg --export 0xDEADBEEF
gpg -o mykey.asc -a --export 0xDEADBEEF
#
# Clean export:
gpg -o mykey.gpg --export --export-options export-clean 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-clean 0xDEADBEEF
#
# Minimal export (smallest):
gpg -o mykey.gpg --export --export-options export-minimal 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-minimal 0xDEADBEEF
마지막 파일을 사용하는 것이 좋습니다(확장자는 .gpg입니다. 원하는 경우 별도의 키링 파일로 사용할 수도 있기 때문입니다).
예를 들어 내 키에는 3DES 및 CAST5의 결함이 밝혀지면서 새로운 정보가 공개되면서 암호 기본 설정이 몇 번 변경되는 것이 포함됩니다. 이러한 변경 사항은 pgpdump에 명확하게 표시되지만 --list-sigs를 사용할 때 표시되는 것은 각 UID의 나열된 서명 끝에 추가 "sig 3" 서명뿐입니다.
귀하의 키를 자세히 조사하지는 않았지만 아마도 귀하가 키에 일부 변경 사항이나 내용을 저장한 경우일 것입니다.