versione di tldr: Quando provo a confrontare le chiavi pubbliche che dovrebbero essere per la stessa entità, le versioni che ottengo attraverso canali diversi NON sono le stesse e quelle che ho scaricato come file come somekey.sig.asc sono file più piccoli.
Sto cercando di imparare l'intera cosa gpg e di esercitarmi correttamente. Un passaggio cruciale consiste nel verificare che una chiave pubblica appartenga effettivamente alla parte che si suppone. In assenza di una catena di contatti personali, la cosa ovvia è ottenere copie multiple da fonti diverse e verificare che siano identiche. Non riesco mai a farlo. Sospetto che parte del problema risieda in newline, carriagereturns, spazi, tabulazioni e altri personaggi inventati dallo SCOPTDUI (Consapevolezza segreta dei programmatori per far impazzire gli utenti). Ecco un esempio in cui sono abbastanza sicuro che i tasti SONO identici, ma non riesco a trovare una procedura per dimostrarlo.
Chiave del team Veracrypt dal server delle chiavi del MIT: link
Chiave del team di Veracrypt dal sito di Veracrypt: link
Ho scaricato entrambi direttamente. Ho copiato e incollato entrambi in file di testo. Ho spogliato i preamboli e le terminazioni, lasciando blocchi che iniziano tutti con lo stesso incomprensibile e finiscono con lo stesso incomprensibile.
Li ho eseguiti attraverso tutti i tipi di tr filtri, come:
cat file | tr -d '0125' > file-tred
Quello del MIT è ancora un file molto più grande. Li ho caricati in gedit e posso copiare pezzi sostanziosi di uno e cercare quel pezzo nell'altro e trovare una sottostringa identica, ma non con l'intero file.
Questo non è un esempio isolato. Il MIT non è unico. Il secondo server di chiavi che ho controllato (in Nuova Zelanda, ma non sono autorizzato a pubblicare un terzo link qui) ha lo stesso problema. Né Veracrypt è un caso speciale. Mi sono imbattuto in questo ogni volta che ho deciso di imparare a fare gpg il "modo giusto" e di battere la testa contro lo stesso muro per alcuni giorni prima di arrendermi. C'è qualche ragione per cui queste cose non sono pubblicate in un formato standard? C'è un modo per renderlo facile? Mi manca qualcosa di ovvio? Cosa rende questo file MIT così grande?
Addendum: In pratica:
gpg --keyserver address.like-this-with-no-protocol-prefix-and-no-trailing-slash.net --search SOMETHING
sembra controllare i duplicati delle chiavi che ho già e segnalare "nessun cambiamento", a condizione che scelgo SOMETHING bene. Quindi, funzionalmente, immagino che questo sia ok. Mi piacerebbe ancora sapere perché i miei confronti manuali falliscono.