WKD kaj aliaj koŝmaretoj

Post ke mi iom eksperimentis pri Keyoxide mi subite ekpensis: “Ho, mi nun havas tiun ŝlosilon kaj mi ja havas ankaŭ la servilon, do, mi ja povus disponigi la ŝlosilon per WKD”.

Nu, do mi provis. Ĝi aspektas sufiĉe simpla tasko, almenaŭ nuntempe. Se oni konsultas malnovajn instrukciojn rete, oni povas trovi tiajn ĝuindaĵojn kiel kreado de dosieruja strukturo permane, akompanita de same permana kalkulado de haketkodoj. Sed dankeme, ek de la versio 2.2.12, GPG enhavas ileton por aŭtomatigi la tutan aferon, do la tuta procezo de krei dosierujojn fariĝas relative simpla:

cd /tmp
mkdir openpgpkey
gpg --list-options show-only-fpr-mbox -k @uzanto | gpg-wks-client -v --install-key

Tio povas ne impresi tre simpla, sed ĝi certe estas kompare al tio, kion oni devis fari antaŭe.

Kompreneble, la kreitan dosieraron oni metu al la servilo kaj disponigu en la sama maniero, kiel oni faras pri aliaj .well-known aferoj, estas nenio GPG-specifa pri tio.

Do, mi faris tion, kaj la aranĝo tuj pasis teston ĉe metacode.biz, kaj ankaŭ Keyoxide tuj sukcesis montri mian profilon. (Parenteze, profilbildon Keyoxide prenas aŭ de Gravatar aŭ el la ŝlosilo mem. Sed tiu ĉi lasta eblo funkcias nur se la ŝlosilo estas disponebla per WKD kaj, krome, ĝi ankoraŭ ne funkcias bone.)

Ĉu do sukceso? Jes, sed ne tuta.

Tiuj retservoj ja funkcias, sed kiam ĉe mia propra laborloko mi provas uzi

% /usr/lib/gnupg/gpg-wks-client --check autunido@senkals.one

gpg --auto-key-locate wkd --locate-external-keys autunido@senkals.one

ambaŭ fiaskas.

Kial? Kiu scias. Sendepende de kiom da -v opcioj mi aldonas al la komandoj, la erar-mesaĝo restas la sama: «Gpg: error retrieving … via WKD: General error». Tio memorigas al mi pri fifama «Eraro de printilo: printila eraro» en unu le fruaj versioj de Vindozo. Kara, mi scias, ke io fuŝiĝis, ĉu vi povus esti afabla kaj diri, kio diable ĝi estis? 🤦

Eble ie profunde en la GPG-a dokumentaro estas menciita iu opcio, kiu helpus diagnozi tion, mi ne scias. GPG havas unu el la malplej utilaj dokumentaroj iam ajn, kiu simple listigas ĉiujn senfinajn opciojn kaj komandojn, kiujn ĉiu el multegaj GPG-eroj komprenas. Sen ajna serioza provo doni ian ideon pri tio, kiel la tuta monstruaĵo estas supozata funkcii kune. 🤷

Pli fruktodona alpaŝo, almenaŭ por mi, estis jena:

% strace /usr/lib/gnupg/gpg-wks-client --check autunido@senkals.one
[...]
connect(3, {sa_family=AF_UNIX, sun_path="/run/user/1000/gnupg/S.dirmngr"}, 32) = 0
[...]
write(3, "WKD_GET -- autunido@senkals.one", 31) = 31

Do bone, ĝi konektiĝas al unu el siaj demonoj kaj petas tiun trovi ŝlosilon por la adreso. Mi certe povas fari la samon.

% echo "WKD_GET -- autunido@senkals.one" | dirmngr

Tio fine donis al mi konkretan informon: mia TLS-atestilo ne estas fidata.🤔 Ĝi tamen ne klarigas kial, kaj do mi supozis ke temas pri tiu fifama eksvalidiĝo de DST Root CA X3, des pli ke la plej nova versio de GPG, kiun mi ankoraŭ ne havas, ja enhavas korektaĵojn, rilatajn al la problemo.

Mi esploris la aferon iom, sed konkludis, ke ne temas pri tio. Kaj nur tiam fine venis al mi ideo provi konekti al mia servilo per gnutls-cli kiu tuj plendis pri eksvalida OCSP-respondo. 😅

Nu, tio sendube estas mia kulpo, kaj mi ankoraŭ esploras, kiel okazis, ke ĝi eksvalidiĝis, ĉar ĉiuj programeroj, responsaj pri ĝia ĝisdatigo ŝajnas funkcii ĝuste.

Sed diable, kial gpg-wks-client ne povis diri al mi tuj, kio estas la problemo? Kial GPG estas tiel kompleksa, ke ĉiu uzebla informero perdiĝas ie en la interago de ĝiaj komponeroj sen atingi la uzanton? 🙄

Ĉuiokaze, la afero funkcias nun, kaj do vi povas trovi mian ŝlosilon ankaŭ per WKD kaj sendi ĉifritan retpoŝton al mi, se vi ial volas. Nur bonvole ne uzu GPG por io, de kio via vivo dependas, ĉar tiu monstreca kombajno mortigos vin unu tagon.


teĥnikaĵoj grumblado retidento