Błąd podczas pobierania podklucza publicznego karty inteligentnej GPG

5

Próbuję skonfigurować kartę inteligentną OpenPGP za pomocą YubiKey.
To jest YubiKey 4, więc teoretycznie powinien zaakceptować 4096-bitowy tajny klucz, ale używam 2048-bitowych podkluczy.

Mam klucz główny (ustawiony tylko dla certyfikatu) i trzy podklucze (podpisywanie, szyfrowanie, uwierzytelnianie), które skopiowałem do YubiKey.

Przesłałem klucz publiczny do mojej witryny i ustawiłem adres URL klucza publicznego na karcie inteligentnej.

Gdy próbuję użyć funkcji pobierania, pojawia się błąd, gdy karta szuka niewłaściwego klucza publicznego. Przykład (użycie systemu Windows i GPGWin):

Keys: 
11111111 - Master Key
22222222 - Signing sub
33333333 - Encrypt sub
44444444 - Auth sub

C:\gpg> gpg2 --card-status
...
URL of public key: https://my.server/pgp.key
...
General key info:  pub 2048/22222222 2016-01-09 Me <[email protected]>
sec# 4096R/11111111  created: 2016-01-09
ssb> 2048R/22222222  created: 2016-01-09
                     card-no: 0006 12345678
ssb> 2048R/33333333  created: 2016-01-09
                     card-no  0006 12345678
ssb> 2048R/44444444  created: 2016-01-09
                     card-no  0006 12345678

Następnie próba pobrania z karty inteligentnej daje:

 C:\gpg> gpg2 --card-edit
 gpg> admin
 Admin commands are allowed
 gpg> fetch
 gpg: requesting key 22222222 from https server my.server
 gpg: no valid OpenPGP data found.
 gpg: Total number processed: 0
 gpg: keyserver communications error: keyserver helper internal error
 gpg: keyserver communications error: General Error

Kiedy uruchamiam gpg -a --export 11111111 > pgp.key, wynikowy klucz pubkey jest taki sam, jak ty --export 22222222(rozumiem, że jest to oczekiwane zachowanie dla podkluczy), więc nie jestem pewien, dlaczego szuka innego klucza.

Próbowałem wyeksportować klucz z pancerzem i bez niego, potwierdziłem, że własność pliku jest ustawiona na www-data:www-datamoim serwerze /var/web.

Wszelkie dalsze sugestie będą mile widziane.

Trent
źródło
Co gpg --fetch-keys https://my.server/pgp.keyzwraca
Jens Erat,
Dokładnie ten sam problem tutaj. Ponieważ Yubikey nie jest w tym kontekście niczym szczególnym, zastanawiam się, dlaczego nikt inny, kto używa kart inteligentnych, nie ma tego problemu. Czy nikt nie korzysta z odpowiedniej konfiguracji GPG z wieloma podkluczami na karcie inteligentnej? @Jens Erat: GPG nic tam nie zwróci, ponieważ polecenie nie pobierze kluczy znajdujących się na karcie inteligentnej. W moim przypadku nie znajdzie on dostępnych lokalnie kluczy GPG i po prostu zgłosi „ogólny błąd”.
masi

Odpowiedzi:

0

Widzę coś podobnego, być może związanego z https://lists.gnupg.org/pipermail/gnupg-users/2015-May/053558.html ? Ostatni post w tym wątku wydaje się sugerować, że uznano go za problem, ale najwyraźniej się nie zmienił.

To wydaje się jak klawisz „Ogólne klucz info”, w naszym przypadku podpisywania podklucz, jest jeden chce złapać.

W moim scenariuszu fetch wydaje się, że się udało, ale tak naprawdę nic nie importuje do mojego breloka. Łatwo przezwyciężyć za pomocą ręcznego pobierania prawdziwego klucza publicznego, ale irytujące.

jstephenson
źródło