我剛剛在我的伺服器上配置了 WKD,並且
gpg -v --auto-key-locate clear,wkd,nodefault --locate-key [email protected]
我的大多數 uid/key 組合都按預期工作,除了一個地址 ([電子郵件受保護]),它連結到當前密鑰和已撤銷的密鑰。上述命令的輸出如下圖所示:
gpg: Note: RFC4880bis features are enabled.
gpg: using pgp trust model
gpg: pub rsa4096/68FD03F8C6AB1DE4 2016-06-15 Old User <[email protected]>
gpg: Note: signature key 68FD03F8C6AB1DE4 expired Mon Jun 14 18:12:44 2021 CEST
gpg: key 68FD03F8C6AB1DE4: "Old Nickname <[email protected]>" not changed
gpg: pub ed25519/7CD4656792B3A1F9 2022-06-06 Old User <[email protected]>
gpg: key 7CD4656792B3A1F9: "Old User <[email protected]>" not changed
gpg: Total number processed: 2
gpg: unchanged: 2
gpg: auto-key-locate found fingerprint xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
gpg: Note: signature key 68FD03F8C6AB1DE4 expired Mon Jun 14 18:12:44 2021 CEST
gpg: automatically retrieved '[email protected]' via WKD
pub rsa4096 2016-06-15 [SC] [revoked: 2022-06-07]
51585E1318770F501D3CBDE968FD03F8C6AB1DE4
uid [ revoked] Old Nickname <[email protected]>
uid [ revoked] Old User <[email protected]>
uid [ revoked] Old Nickname2 <[email protected]>
sub rsa4096 2016-06-15 [E] [revoked: 2022-06-07]
雖然[電子郵件受保護]是新金鑰的主 uid,gpg 顯示該金鑰的其他 uid ([電子郵件受保護])。這很奇怪,但無關緊要。但隨後 gpg 繼續選擇已撤銷的金鑰,該金鑰可以透過 WKD 以某種方式取得。
WKD 測試於https://metacode.biz/openpgp/web-key-directory提供類似的結果,但它顯示當前密鑰和已撤銷密鑰的指紋。
兩個問題:
- 哪個 WKD 伺服器託管我已撤銷的金鑰,以便它優先於我在 domain.com 上自己的 WKD 伺服器?
- 為什麼 gpg 選擇過期且已撤銷的金鑰而不是有效金鑰?
謝謝,簡
答案1
問題已解決:我按照以下說明進行操作 https://shibumi.dev/posts/how-to-setup-your-own-wkd-server/,並無意中匯出了該位址 (gpg --no-armor --export $uid) 的所有金鑰,而不是指定金鑰 id。
現在我只導出/發布了有效密鑰(gpg --no-armor --export $keyid),一切都很好。