如何更新 pgp 子密钥的签名

Question

这并不是真正的解决方案，但这就是我处理该问题的方法（使用 GnuPG 2.2）。

首先，我的 UID 也遇到了同样的问题。可以解决此问题：从 gpg.conf 中删除策略 URL，然后删除签名（gpg --edit-key和delsig），并使用主密钥再次对 uid 进行自签名。

对于子密钥，此方法不起作用。每个子密钥一旦创建，都必须由主密钥签名，额外的签名没有意义。因此，对于 GnuPG，不需要支持编辑或添加子密钥签名。所以我不得不尝试其他方法（使用 uid 的测试用例test）。

导出完整密钥：gpg --export-secret-key test > testexport
将密钥拆分成数据包：gpgsplit testexport
删除包含无效签名的数据包。在我的测试案例中，子密钥签名包含在最后一个代码片段文件中，名为000006-002.sig。您可以通过仔细检查并检查内容gpg --list-packets 000006-002.sig。
为包含秘密子密钥的代码片段创建签名：gpg --local-user test --output 000006.newsig --detach-sign 000005-007.secret_subkey
将包括新签名在内的片段重新放在一起：cat 0* > newkey
从密钥环中删除（旧）密钥：gpg --delete-key test
将新密钥重新导入密钥环：gpg --import newkey。但不幸的是，由于签名无效，子密钥的导入失败了。

所以这种方法太过幼稚，人们应该更深入地研究 OpenPGP 签名，以便创建有效的签名。

最后，由于我的密钥已被其他人上传到密钥服务器，我决定撤销子密钥并创建一个新的密钥。

Answer 1

这并不是真正的解决方案，但这就是我处理该问题的方法（使用 GnuPG 2.2）。

首先，我的 UID 也遇到了同样的问题。可以解决此问题：从 gpg.conf 中删除策略 URL，然后删除签名（gpg --edit-key和delsig），并使用主密钥再次对 uid 进行自签名。

对于子密钥，此方法不起作用。每个子密钥一旦创建，都必须由主密钥签名，额外的签名没有意义。因此，对于 GnuPG，不需要支持编辑或添加子密钥签名。所以我不得不尝试其他方法（使用 uid 的测试用例test）。

导出完整密钥：gpg --export-secret-key test > testexport
将密钥拆分成数据包：gpgsplit testexport
删除包含无效签名的数据包。在我的测试案例中，子密钥签名包含在最后一个代码片段文件中，名为000006-002.sig。您可以通过仔细检查并检查内容gpg --list-packets 000006-002.sig。
为包含秘密子密钥的代码片段创建签名：gpg --local-user test --output 000006.newsig --detach-sign 000005-007.secret_subkey
将包括新签名在内的片段重新放在一起：cat 0* > newkey
从密钥环中删除（旧）密钥：gpg --delete-key test
将新密钥重新导入密钥环：gpg --import newkey。但不幸的是，由于签名无效，子密钥的导入失败了。

所以这种方法太过幼稚，人们应该更深入地研究 OpenPGP 签名，以便创建有效的签名。

最后，由于我的密钥已被其他人上传到密钥服务器，我决定撤销子密钥并创建一个新的密钥。

相关内容