GnuPG 2.1.16:「--with-fingerprint」を使用すると、指紋は表示されなくなります。

GnuPG 2.1.16:「--with-fingerprint」を使用すると、指紋は表示されなくなります。

ファイルからキーをインポートする前に、キーの指紋を確認したいと思います。指示に従ってセントースウィキから、私は次のコマンドを使用します

gpg --quiet --with-fingerprint <path of key file>

GnuPG 2.1.16(自己コンパイル)またはGnuPG 2.1.17(OpenSUSE TumbleweedまたはArchLinux、command gpg)を使用している場合、出力にキーは含まれません。

GnuPG 2.1.15(自己コンパイル)またはGnuPG 2.1.13(Fedora、command gpg2)を使用すると、予想される指紋が出力に含まれます。

最新のGnuPGバージョンを使用して指紋を取得するには?

私のテストで得られた追加情報は次のとおりです。

  • 使用されたキーファイル:http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-7
  • 出力gpg --quiet --with-fingerprint ./RPM-GPG-KEY-CentOS-7
    • GnuPG 2.1.17の使用:
      pub   rsa4096 2014-06-23 [SC]
      uid           CentOS-7 Key (CentOS 7 Official Signing Key) <[email protected]>
      
    • GnuPG 2.1.16の使用:
      pub   rsa4096 2014-06-23 [SC]
      uid           CentOS-7 Key (CentOS 7 Official Signing Key) <[email protected]>
      
    • GnuPG 2.1.13の使用:
      pub   rsa4096 2014-06-23 [SC]
            6341 AB27 53D7 8A78 A7C2  7BB1 24C6 A8A7 F4A8 0EB5
      uid           CentOS-7 Key (CentOS 7 Official Signing Key) <[email protected]>
      

答え1

これは動作します(少なくとも2.2.4では):

gpg --import --import-options show-only ~/schneier.gpg

マニュアルページから:

--import-options parameters
       import-show
       show-only
         Show  a listing of the key as imported right before it is stored.  This
         can be combined with the option --dry-run to only  look  at  keys;  the
         option  show-only  is  a shortcut for this combination.  Note that suf‐
         fixes like '#' for "sec" and "sbb" lines may or may not be printed.

答え2

バラよりhttps://unix.stackexchange.com/a/391346/29483。キーファイルをキーリングとして扱うことは私には効果がありませんでしたが、許可された回答が役に立ちました。

cat keyfile.key | gpg --with-colons --import-options import-show --dry-run --import

gpg 2.1.18を含むDebian 9およびgpg2 2.2.0を含むFedora 26でテストされました。

$ gpg2 --with-fingerprint --import-options import-show --dry-run --import < linux_signing_key.pub 
pub   dsa1024 2007-03-08 [SC]
      4CCA 1EAF 950C EE4A B839  76DC A040 830F 7FAC 5991
uid                      Google, Inc. Linux Package Signing Key <[email protected]>
sub   elg2048 2007-03-08 [E]

pub   rsa4096 2016-04-12 [SC]
      EB4C 1BFD 4F04 2F6D DDCC  EC91 7721 F63B D38B 4796
uid                      Google Inc. (Linux Packages Signing Authority) <[email protected]>
sub   rsa4096 2016-04-12 [S] [expires: 2019-04-12]

gpg: Total number processed: 2

--with-fingerprint古いものかもしれません。安全でないホットキーIDの出力を停止するようにGPG2が変更されているようです。

$ gpg2 --import-options import-show --dry-run --import < linux_signing_key.pub pub   dsa1024 2007-03-08 [SC]
      4CCA1EAF950CEE4AB83976DCA040830F7FAC5991
      4CCA1EAF950CEE4AB83976DCA040830F7FAC5991
uid                      Google, Inc. Linux Package Signing Key <[email protected]>
sub   elg2048 2007-03-08 [E]

pub   rsa4096 2016-04-12 [SC]
      EB4C1BFD4F042F6DDDCCEC917721F63BD38B4796
      EB4C1BFD4F042F6DDDCCEC917721F63BD38B4796
uid                      Google Inc. (Linux Packages Signing Authority) <[email protected]>
sub   rsa4096 2016-04-12 [S] [expires: 2019-04-12]

gpg: Total number processed: 2

残念ながら、私は機械が読める出力を望んでいます--with-colonsが、そこには別のことが起こっています:-(。

$ gpg --with-colons --with-fingerprint --import-options import-show --dry-run --import < linux_signing_key.pub 
gpg: lookup_hashtable failed: Unknown system error
gpg: trustdb: searching trust record failed: Unknown system error
gpg: Error: The trustdb is corrupted.
gpg: You may try to re-create the trustdb using the commands:
gpg:   cd ~/.gnupg
gpg:   gpg --export-ownertrust > otrust.tmp
gpg:   rm trustdb.gpg
gpg:   gpg --import-ownertrust < otrust.tmp
gpg: If that does not work, please consult the manual

結局、次のコードを使用しました。

gpg_show_fingerprints() {
    gpg2 --with-fingerprint --import-options import-show --dry-run --import < "$1" >/dev/null 2>&1
    if [ "$?" == 2 ]; then
        # Usage error.  Try the old way.
        gpg2 --with-fingerprint "$1"
    else
        gpg2 --with-fingerprint --import-options import-show --dry-run --import < "$1"
    fi
}

gpg_show_fingerprints "$1" |
    sed -E -n -e 's/.*(([0-9A-F]{4}[ ]*){10,}).*/\1/ p'

答え3

興味深いことに、この--with-fingerprintオプションを省略すると指紋が印刷されますが、空白形式は印刷されません。 GPG バージョン 2.2.20 を使用します。

$ gpg RPM-GPG-KEY-CentOS-7
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa4096 2014-06-23 [SC]
      6341AB2753D78A78A7C27BB124C6A8A7F4A80EB5
uid           CentOS-7 Key (CentOS 7 Official Signing Key) <[email protected]>

答え4

gpg --show-keys --fingerprint RPM-GPG-KEY-CentOS-7
pub   rsa4096 2014-06-23 [SC]
      6341 AB27 53D7 8A78 A7C2  7BB1 24C6 A8A7 F4A8 0EB5
uid                      CentOS-7 Key (CentOS 7 Official Signing Key) <[email protected]>

GPGマニュアルで -

       --show-keys
              This  commands  takes OpenPGP keys as input and prints information about them
              in the same way the command --list-keys does for locally stored key.  In  ad‐
              dition the list options show-unusable-uids, show-unusable-subkeys, show-nota‐
              tions and show-policy-urls are also enabled.  As usual for automated process‐
              ing, this command should be combined with the option --with-colons.

       --fingerprint
              List  all keys (or the specified ones) along with their fingerprints. This is
              the same output as --list-keys but with the additional output of a line  with
              the  fingerprint. May also be combined with --check-signatures.  If this com‐
              mand is given twice, the fingerprints of all secondary keys are  listed  too.
              This  command also forces pretty printing of fingerprints if the keyid format
              has been set to "none".

       --with-fingerprint
              Same  as  the command --fingerprint but changes only the format of the output
              and may be used together with another command.

私のGnuPGバージョンは2.2.20

引用する -

https://serverfault.com/a/1059889/619144

関連情報