pgp-sha1
Недавно получил от PGP Global Directory запрос на подтверждение моего ключа.
Само письмо с предложением перейти по ссылке было подписано ключои
RSA key ID CA57AD7C "PGP Global Directory Verification Key"
Но при попытке проверить подпись с помощью gpg 1.4.3 через The Bat! получил странное
сообщение
Решил что может что-то не так с The Bat! – сохранил письмо на диск, посмотрел заголовки,
в частности увидел следующее
Потом взял само письмо – добыл из него две части – тело (разбитое ещё на несколько частей)
и подпись.
Добавил строчки
Хэш SHA1, так как micalg=pgp-sha1
и попробовал проверить подпись – результат тот-же.
И тут поддавшись порыву интуиции прописал Hash: SHA256...
и письмо проверилось!! Good signature итд
Так вот, теперь вопрос – что это значит? Это бага PGP или бага GPG
или можно как-то указать GnuPG игнорировать micalg в заголовках,
а смотреть только инфу в самой подписи?
ЗЫ Бага в смысле "несовместимость со стандартом"...
Похоже, что PGP GD неверно прописала хэш-функцию. Думаю, это баг GD.
Это баг PGP Universal. Спрашивал разработчиков, обещали исправить в следующей версии.
Этот баг я сообщил сначала в gnupg-users[link1], затем David Shaw уведомил о нём PGP Corporation, а потом я ещё описал проблему на форуме PGP Support[link2].
Ответа от PGP Corp. до сих пор нет...
Ох уж эти баги неприятные...