Tengo una clave de tarjeta inteligente OpenPGP (YubiKey NEO) así como una clave secreta local instalada en mi anillo de claves GnuPG.
Me gustaría cifrar y firmar un archivo con la clave de mi tarjeta, no la clave de mi anillo de claves. ¿Cómo puedo especificar con qué clave me gustaría firmar?
Si mi ID de clave secreta del sistema de archivos es DEADBEEF
y mi clave de tarjeta inteligente es DEADBEE5
, ¿cómo firmo con esa clave?
Responder
Debe especificar --default-key
:
gpg -s --default-key DEADBEE5 input > output
y luego verifique con
gpg -d < output | head -1
Desde la página gpg man
(sección --sign
):
La clave que se utilizará para firmar se elige de forma predeterminada o se puede configurar con las opciones –local-user y –default-key.
Comentarios
Respuesta
La clave de firma se selecciona con -u
/ --local-user
:
gpg --local-user 0xDEADBEE5 --sign file
Esta opción se puede dar varias veces para combinar firmas de varias claves:
gpg --local-user 0xDEADBEE5 --local-user 0x12345678 --sign file
Comentarios
- Según la página del manual, usar
--local-user
es lo mismo que usar--default-user
como en mi respuesta - @Anthon Lleva al mismo resultado. Eso no ' t significa que
--default-*
deba recomendarse para este uso. He estado en la lista de correo de GnuPG durante años. Nunca había visto algo así antes. - Bueno, sí, parece que el problema surgió una vez en gnupg-users y tú fuiste quien proporcionó la respuesta con tu lectura de la página de manual ;-). Para mí, especificar una opción con
-key
en su nombre se siente mucho más apropiado cuando quiero usar una clave específica que especificar algo con-user
YMMV . - Creo que @Anthon quiso decir
--default-key
en su comentario anterior. Siguiendo con eso, una diferencia entre--local-user
y--default-key
en mi experiencia, es que el primero falla si una clave coincidente no es ' t presente, mientras que el segundo recurrirá a otras claves. Por esa razón, ' sería muy cauteloso al poner--default-key
en los scripts. - Probé y confirmé @ Comentario de JackO ' Connor ' con gpg 2.2.4. El hombre de
--default-key
diceIf there is no secret key available for any of the specified values, GnuPG will not emit an error message but continue as if this option wasn't given.
gpg: conflicting commands
cuando intento encriptar y firmar.--default-*
tiene poco sentido en la línea de comandos. Estas opciones son para el archivo de configuración.--local-user
y--default-key
es que--local-user
dará un error si especifica una clave inexistente. Con--default-key
, ignorará una clave inexistente y usará la primera clave en el llavero.