Se impongo la chiave pubblica elencata nel tuo post, ricevo questo messaggio:
$ gpg --import pkey2.txt
gpg: key 50268311C7AD3F62: 11 duplicate signatures removed
gpg: key 50268311C7AD3F62: 5 signatures reordered
gpg: key 50268311C7AD3F62: public key "DDoSolitary <[email protected]>" imported
gpg: Total number processed: 1
gpg: imported: 1
Come puoi vedere, le firme extra elencate sulla tua chiave pubblica sono contrassegnate come duplicate al momento dell'importazione e non influiscono sul funzionamento o sulla fiducia della chiave.
Le firme extra sono più probabili da manipolazioni chiave. Ogni modifica della tua chiave produce una firma.
Tutte le firme e le date delle firme possono essere estratte dalla chiave pubblica usando l'opzione --list-packets
di gpg
.
$ gpg --list-packets pkey.txt |grep -A1 ":signature"
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1504334453, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1508055794, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1508055418, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1508056216, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1504703268, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1504334453, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1504703268, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1508055418, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1504334453, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1508056216, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1508055794, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1508553430, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1504334453, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1504703268, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1508055418, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1504334453, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1508056216, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
version 4, created 1508055794, md5len 0, sigclass 0x13
Le date sono nell'ora EPOCH UNIX. Queste sono tutte le date delle firme ordinate e in una forma più leggibile:
2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-06 13:07:48-00
2017-09-06 13:07:48-00
2017-09-06 13:07:48-00
2017-10-15 08:16:58-00
2017-10-15 08:16:58-00
2017-10-15 08:16:58-00
2017-10-15 08:23:14-00
2017-10-15 08:23:14-00
2017-10-15 08:23:14-00
2017-10-15 08:30:16-00
2017-10-15 08:30:16-00
2017-10-15 08:30:16-00
2017-10-21 02:37:10-00
È abbastanza facile vedere che i tempi della firma si verificano durante le manipolazioni della chiave.
$ gpg --edit-key 688E1D093C3638F588890D4450268311C7AD3F62
pub ed25519/50268311C7AD3F62
created: 2017-09-02 expires: never usage: SC
trust: unknown validity: unknown
sub ed25519/E758605C3A2792F6
created: 2017-09-06 expires: never usage: A
sub ed25519/6DC20782F6E9E2F3
created: 2017-10-21 expires: 2018-10-21 usage: S
sub cv25519/1224F2883BEE2AA5
created: 2017-09-02 expires: never usage: E
[ unknown] (1). DDoSolitary <[email protected]>
[ unknown] (2) DDoSolitary <[email protected]>
[ unknown] (3) [jpeg image of size 29903]
Quindi, guardando la chiave, non c'è nulla che risulti errato sulla chiave, come pubblicato sul server delle chiavi pubbliche o sulla chiave importata.
Come nota a margine: il livello di attendibilità sulla chiave pubblica come elencato nel mio sistema non sarà lo stesso del tuo sistema. La fiducia è sotto il controllo locale. Il trust è impostato come sconosciuto per impostazione predefinita. Tuttavia, non è saggio fidarsi ciecamente delle chiavi pubbliche elencate in un server delle chiavi.