Я только что настроил WKD на своем сервере и
gpg -v --auto-key-locate clear,wkd,nodefault --locate-key [email protected]
работает как и ожидалось для большинства моих комбинаций uid/key, за исключением одного адреса ([email protected]), который связан как с текущим, так и с отозванным ключом. Вывод команды выше выглядит следующим образом:
gpg: Note: RFC4880bis features are enabled.
gpg: using pgp trust model
gpg: pub rsa4096/68FD03F8C6AB1DE4 2016-06-15 Old User <[email protected]>
gpg: Note: signature key 68FD03F8C6AB1DE4 expired Mon Jun 14 18:12:44 2021 CEST
gpg: key 68FD03F8C6AB1DE4: "Old Nickname <[email protected]>" not changed
gpg: pub ed25519/7CD4656792B3A1F9 2022-06-06 Old User <[email protected]>
gpg: key 7CD4656792B3A1F9: "Old User <[email protected]>" not changed
gpg: Total number processed: 2
gpg: unchanged: 2
gpg: auto-key-locate found fingerprint xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
gpg: Note: signature key 68FD03F8C6AB1DE4 expired Mon Jun 14 18:12:44 2021 CEST
gpg: automatically retrieved '[email protected]' via WKD
pub rsa4096 2016-06-15 [SC] [revoked: 2022-06-07]
51585E1318770F501D3CBDE968FD03F8C6AB1DE4
uid [ revoked] Old Nickname <[email protected]>
uid [ revoked] Old User <[email protected]>
uid [ revoked] Old Nickname2 <[email protected]>
sub rsa4096 2016-06-15 [E] [revoked: 2022-06-07]
Несмотря на то[email protected]— это основной UID для нового ключа, gpg показывает другой UID для этого ключа ([email protected]). Это странно, но не имеет значения. Но затем gpg продолжает выбирать отозванный ключ, который каким-то образом доступен через WKD.
Тест WKD вhttps://metacode.biz/openpgp/web-key-directoryдает схожие результаты, но отображает отпечатки как текущего, так и отозванного ключа.
Два вопроса:
- На каком сервере WKD размещен мой отозванный ключ, чтобы он имел приоритет над моим собственным сервером WKD на domain.com?
- Почему gpg выбирает просроченный и отозванный ключ вместо действительного ключа?
Спасибо, Ян.
решение1
Проблема решена: Я следовал инструкциям на https://shibumi.dev/posts/how-to-setup-your-own-wkd-server/и непреднамеренно экспортировал все ключи для адреса (gpg --no-armor --export $uid) вместо указания идентификатора ключа.
Теперь я экспортировал/опубликовал только действительный ключ (gpg --no-armor --export $keyid), и все хорошо.