[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:37826] Re: 鍵の引き継ぎ

こんばんは。佐野@浜松です。

In <20030722154659.GB7481%yamyas@xxxxxxxxxx>,
  on "Wed, 23 Jul 2003 00:47:00 +0900',
 YamYas <yamyas@xxxxxxxxxx> さん wrote:

> 他のメールにて、バージョン違いの可能性が高いとの事ですが、
> エクスポートしてインポートする事により、吸収できると思う
> のですが、間違っていますでしょうか?

  from http://bugs.debian.org/171546:

| Debian Bug report logs - #171546
| gnupg: There is a bug in 1.0.6 that damaged the key

によると

| Package: gnupg
| Version: 1.0.6-3
| Severity: grave

| > http://lists.gnupg.org/pipermail/gnupg-users/2002-October/015287.html

| The problem is that a >= 1.0.7 generated *secret* key was used with 1.0.6
| which messed it up.

(中略)

|| This has nothing to do with backups, since this is a new key pair, since
|| is corrupted on importion. I still have the correct key source, however
|| the imported key pair is corrupted.

(中略)

||| Okay, so fix 1.0.6 to bail out on such a key:
||| 
||| diff -urp orig/gnupg-1.0.6/g10/parse-packet.c gnupg-1.0.6/g10/parse-packet.c
||| --- orig/gnupg-1.0.6/g10/parse-packet.c Thu Apr  5 12:44:26 2001
||| +++ gnupg-1.0.6/g10/parse-packet.c      Tue Dec  3 13:44:07 2002
||| @@ -1390,7 +1390,7 @@ parse_key( IOBUF inp, int pkttype, unsig
|||         if( sk->protect.algo ) {
|||             sk->is_protected = 1;
|||             sk->protect.s2k.count = 0;
||| -           if( sk->protect.algo == 255 ) {
||| +           if( sk->protect.algo == 254 || sk->protect.algo == 255 ) {
|||                 if( pktlen < 3 ) {
|||                     rc = G10ERR_INVALID_PACKET;
|||                     goto leave;
||| 
||| 
||| The actual bug is due to a new security feature of GnuPG.  A
||| workaround is to use the flag --simple-sk-checksum while exporting
||| using gpg 1.2.

つまり、GnuPG 1.2.x で作成した鍵を普通に export すると、
それを GnuPG 1.0.6 でインポートした時点で鍵が壊れる、と
いうことらしいです。

今調べたら GnuPG 1.2.2-1 の /usr/share/doc/gnupg/FAQ.gz にも

6.19) Why does GnuPG 1.0.6 bail out on keyrings used with 1.0.7?

    There is a small bug in 1.0.6 which didn't parse trust packets
    correctly. You may want to apply this patch if you can't upgrade:

    <http://www.gnupg.org/developer/gpg-woody-fix.txt>

という項目がありますね。

> もし、私の認識があっているのであれば、やはり単純コピーでは
> 移行できないと言う事と、ほぼイコールの様な気がします。

ということでこれは無関係ではないかと。

# もし public keyring が「export / import しなければ使えない」
# としたら debian-keyring パッケージの存在価値が、、、

-- 
 # (わたしのおうちは浜松市、アカウミガメのふるさとの街)
   <kgh12351@xxxxxxxxxxx> : Taketoshi Sano (佐野 武俊)