gpg - empreinte digitale imprime une empreinte digitale complètement différente
Lorsque vous affichez l'empreinte digitale complète d'une clé OpenPGP, celle-ci est complètement différente de celle de l'ID.
Pour cette clé spécifique:
$ gpg --list-keys --fingerprint D72AF3448CC2B034
pub rsa4096 2017-02-09 [SC] [verfällt: 2027-02-07]
F554 A368 7412 CFFE BDEF E0A3 12F5 F7B4 2F2B 01E7
uid [ unbekannt ] OpenVPN - Security Mailing List <[email protected]>
sub rsa4096 2017-02-09 [E] [verfällt: 2018-03-06]
sub rsa4096 2017-02-09 [S] [verfällt: 2018-03-06]
Pour les autres clés, l'empreinte digitale correspond à l'ID, comme prévu:
$ gpg --list-keys --fingerprint 57DB9DAB613B8DA1
pub rsa4096 2016-08-23 [SC] [verfällt: 2026-08-21]
7ACD 56B7 4144 925C 6214 3297 57DB 9DAB 613B 8DA1
uid [ unbekannt ] David Sommerseth (OpenVPN Technologies, Inc) <[email protected]>
uid [ unbekannt ] David Sommerseth (OpenVPN Technologies, Inc) <[email protected]>
uid [ unbekannt ] David Sommerseth (OpenVPN mailing list ID) <[email protected]>
sub rsa4096 2016-08-23 [E] [verfällt: 2026-08-21]
sub rsa4096 2016-08-23 [S] [verfällt: 2021-08-22]
Est-ce normal? Quelqu'un peut-il m'expliquer pourquoi l'empreinte digitale est complètement différente?
GnuPG résout généralement les sous-clés en clé primaire si une sous-clé est passée en argument. Cela peut être particulièrement surprenant lorsque vous spécifiez une sous-clé de chiffrement: GnuPG résout la sous-clé en clé primaire et peut en fait choisir une autre sous-clé pour le chiffrement (sélection de la plus récente sous-clé de chiffrement).
Pour répertorier une clé, cette opération est toujours effectuée, pour certaines opérations comme le chiffrement, vous pouvez ajouter ! à l'ID de la sous-clé (c.-à-d. D72AF3448CC2B034) pour sélectionner explicitement cette clé et désactiver la recherche de clé primaire.
Pour afficher les empreintes digitales des sous-clés sur la ligne de commande, appliquez le --with-subkey-fingerprints option:
$ gpg --list-keys --with-subkey-fingerprints D72AF3448CC2B034
pub rsa4096/0x12F5F7B42F2B01E7 2017-02-09 [SC] [expires: 2027-02-07]
F554A3687412CFFEBDEFE0A312F5F7B42F2B01E7
uid [ unknown] OpenVPN - Security Mailing List <[email protected]>
sub rsa4096/0xF80E8008F6D9F8D7 2017-02-09 [E] [expires: 2018-03-06]
E6CAF699521B9B5E57A5C31BF80E8008F6D9F8D7
sub rsa4096/0xD72AF3448CC2B034 2017-02-09 [S] [expires: 2018-03-06]
B59606E2D8C6E10B80BE2B31D72AF3448CC2B034
Apparemment, D72AF3448CC2B034 est un sous-clé, E0A312F5F7B42F2B01E7 étant la clé principale correspondante. Cependant, gpg n'imprime pas les empreintes digitales des sous-clés. J'ai dû utiliser l'outil gui enigmail pour vérifier cela.