versión tldr: Cuando trato de comparar claves públicas que se supone que son para la misma entidad, las versiones que obtengo a través de diferentes canales NO son las mismas y las que descargo como un archivo como somekey.sig.asc son archivos más pequeños.
Estoy tratando de aprender todo el gpg y practico usarlo correctamente. Un paso crucial es verificar que una clave pública, de hecho, pertenezca a la parte a la que se supone. En ausencia de una cadena de contactos personales, lo obvio es obtener múltiples copias de diferentes fuentes y verificar que sean idénticas. Nunca puedo hacer eso. Sospecho que parte del problema radica en las nuevas líneas, vueltas, espacios, tabulaciones y otros personajes inventados por el SCOPTDUI (Conspiración secreta de programadores para volver locos a los usuarios). Aquí hay un ejemplo donde estoy bastante seguro de que las claves SON idénticas, pero no puedo encontrar un procedimiento para probarlo.
Clave del equipo de Veracrypt del servidor de claves MIT: enlace
Clave del equipo de Veracrypt del sitio de Veracrypt: enlace
He descargado ambos directamente. He copiado y pegado ambos en archivos de texto. He quitado los preámbulos y los finales, dejando bloques que comienzan con el mismo alboroto y terminan con el mismo alboroto.
Los he corrido a través de todo tipo de filtros tr, como:
cat file | tr -d '0125' > file-tred
El de MIT es todavía un archivo mucho más grande. Los he cargado en gedit y puedo copiar partes sustanciales de una y buscar esa parte en la otra y encontrar una subcadena idéntica, pero no con todo el archivo.
Este no es un ejemplo aislado. MIT no es único. El segundo servidor de claves que revisé (en Nueva Zelanda, pero no puedo publicar un tercer enlace aquí) tiene el mismo problema. Tampoco es Veracrypt un caso especial. Me he topado con esto cada vez que he decidido aprender a hacer gpg de la "manera correcta" y golpear mi cabeza contra la misma pared por unos días antes de rendirme. ¿Hay alguna razón para que estas cosas no se publiquen de forma estandarizada? ¿Hay alguna manera de hacer esto fácil? ¿Me estoy perdiendo algo obvio? ¿Qué hace que ese archivo MIT sea tan grande?
Anexo: En la práctica:
gpg --keyserver address.like-this-with-no-protocol-prefix-and-no-trailing-slash.net --search SOMETHING
parece estar verificando duplicados de las claves que ya tengo e informando "sin cambios", siempre que escoja ALGO bien. Entonces, funcionalmente, supongo que esto está bien. Todavía me gustaría saber por qué fallan mis comparaciones manuales.