Я создал новый ключ GPG (rsa + rsa subkey), назовем его key1, и загрузил его на сервер ключей. У него два uid.
Позже я подписал этот новый ключ другим ключом (назовем его key2) и загрузил изменение. Так что теперь ключ имеет следующие подписи:
first uid:
signed by key1
signed by key2
second uid:
signed by key1
signed by key2
key1 - subkey;
signed by key1
Все как и ожидалось. Позже я обновил свои ключи с сервера ключей, и key1 получил две новые подписи. Эти две подписи были дубликатами подписей key1, поэтому теперь ключ выглядит так:
first uid:
signed by key1
signed by key2
signed by key1 <- duplicate
second uid:
signed by key1
signed by key2
signed by key1
key1 - subkey;
signed by key1
Почему сервер ключей дублирует эти подписи? Они служат какой-то особой цели или это просто ошибка?
решение1
Если вы имеете в виду подписи «sig 3», перечисленные для ключа, который вы создали в тот же день, когда была опубликована эта публикация (я проверил домен в вашем профиле на серверах), то все должно быть в порядке, и маловероятно, что серверы ключей на самом деле добавляют или копируют существующую подпись.
Гораздо более вероятно, что это будет указанием на какие-либо изменения, внесенные в ключ после генерации (например, изменение порядка предпочтения шифра, добавление или удаление шифров и дайджестов, добавление или отзыв подключаемых ключей, добавление или отзыв UID и т. д.). Когда такое изменение вносится в ключ, в том числе при генерации ключа, эти данные подписываются ключом сертификации (необязательно с определенным уровнем доверия, хотя некоторые данные должны быть самоподписаны на уровне 3 («sig 3»). Когда это происходит, каждый UID на ключе в это время получает еще одну «самоподпись». Вы можете увидеть все подробности, запустив ключ через pgpdump или gpg --list-packets.
Если вы используете pgpdump и перенаправляете вывод в текстовый файл, вы можете прочитать каждое изменение вашего ключа в хронологическом порядке, начиная снизу и двигаясь вверх и вперед (обычно иногда что-то сохраняется не на своем месте или с более обычным порядком сверху вниз, но поскольку все изменения имеют временную метку, это должно быть легко исправить). Чтобы ограничить вывод только внесенными вами изменениями, вы можете экспортировать минимальную или чистую версию ключа с помощью:
# Normal export:
gpg -o mykey.gpg --export 0xDEADBEEF
gpg -o mykey.asc -a --export 0xDEADBEEF
#
# Clean export:
gpg -o mykey.gpg --export --export-options export-clean 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-clean 0xDEADBEEF
#
# Minimal export (smallest):
gpg -o mykey.gpg --export --export-options export-minimal 0xDEADBEEF
gpg -o mykey.asc -a --export --export-options export-minimal 0xDEADBEEF
Я рекомендую использовать последний вариант (с расширением .gpg, поскольку вы также можете использовать их как отдельные файлы ключей, если вам это действительно нужно).
Мой ключ, например, включает изменения предпочтений шифра пару раз, поскольку появилась новая информация о недостатках в 3DES и CAST5. Эти изменения ясно видны в pgpdump, но при использовании --list-sigs все, что отображается, это дополнительные подписи "sig 3" в конце перечисленных подписей каждого UID.
Я не слишком внимательно осматривал ваш ключ, но, скорее всего, вы просто припрятали в нем мелочь или что-то в этом роде.