lakpa.net

Depuis quelques jours que j'essaie, impossible de mettre à jour les clefs de mon trousseau. Que ce soit avec la version de Debian Stretch, ou même Stretch-backports :

$ gpg --refresh-keys 0xABCD1234
gpg: refreshing 1 key from hkp://hkps.pool.sks-keyservers.net
gpg: échec de rafraîchissement par le serveur de clefs : Server indicated a failure

D'après ce que j'ai trouvé, on peut essayer l'option standard-resolver dans ~/.gnupg/dirmngr.conf. Mais dans ce cas, l'erreur devient

$ gpgconf --kill all # arrête tout les démons, ils seront relancés au besoin
$ gpg --refresh-keys 0xABCD1234
gpg: refreshing 1 keys from hkp://hkps.pool.sks-keyservers.net
gpg: échec de rafraîchissement par le serveur de clefs : Try again later

Même avec d'autre serveurs comme keyring.debian.org ou pool.sks-keyservers.net :

$ gpg --refresh-keys 0xABCD1234 --keyserver keyring.debian.org
gpg: refreshing 1 keys from hkp://keyring.debian.org
gpg: échec de rafraîchissement par le serveur de clefs : Try again later

(D'ailleurs, l'option keyserver keyring.debian.org dans ~/.gnupg/dirmngr.conf ne semble pas fonctionner).

En revanche, indiquer recursive-resolver dans ~/.gnupg/dirmngr.conf est beaucoup plus efficace.

$ gpg --refresh-keys 0xABCD1234
gpg: refreshing 1 key from hkp://hkps.pool.sks-keyservers.net
gpg: clef 0xABCD1234ABCD1234 : « XXX » n'est pas modifiée
gpg:       Quantité totale traitée : 1
gpg:                 non modifiées : 1

D'après dirmngr(8) :

--recursive-resolver
When possible use a recursive resolver instead of a stub resolver. 

Est-ce que ça ne devrait pas être le comportement par défaut ?

I choose to set an expiry date on my gpg keys. 6 month is good enough for me to not forget everything in-between.

gpg2 --edit-key B8EC0946
expire
[...]
key $SUBKEY
expire
[...]
save

But (almost) every time I try to send the updated key to the keyserver, I get an error. This time :

gpg: sending key 0xC684F06AB8EC0946 to hkp://keyserver.ubuntu.com
gpg: keyserver send failed: Buffer too short
gpg: keyserver send failed: Buffer too short

Searchng the web with this error message gives absolutely nothing. Nobody ever gets a « buffer too short » error ?

I was sure that was a local error. But blindly trying random options, I run

gpg2 --keyserver hkps://keyserver.ubuntu.com:443 --send-keys B8EC0946

And this work !?

gpg: envoi de la clef 0xC684F06AB8EC0946 à hkps://keyserver.ubuntu.com:443

So in conclusion, set keyserver hkps://keyserver.ubuntu.com:443 (hkp over TLS) in ~ /.gnupg/gpg.conf and voilà !

Hello to Gnupg maintainer and/or keyserver.ubuntu.com maintainer :
PLEASE say & publish something when you change the behaviour ! Its hard to guess !

Thanks