如何选择maven-gpg-plugin用来签名工件的GnuPG键？

Question

我使用maven-gpg-plugin对maven工件进行签名。这很好，但是我的GnuPG密钥环中有几个键，并且希望使用与GnuPG选择的键不同的键。

1. 如果有几个键，GnuPG如何选择“默认”键？
2. 是否有可能指定要在maven-gpg-plugin配置中使用的键？keyname似乎不起作用(我假设它会选择键环，但不会选择特定的键)。

Answer 1

如果有几个键，GPG如何选择“默认”键？

默认情况下，GnuPG在秘密密钥环中选择第一个密钥，如果没有进行其他定义(例如，使用default-key选项)。来自man gpg

--default-key name

    Use name as the default key to sign with. If this option is not used,
    the default key is the first key found in the secret keyring. Note 
    that -u or --local-user overrides this option. 

是否有可能指定要在maven-gpg-plugin配置中使用的键？"keyname“似乎不起作用(我假设它会选择键环，但不会选择特定的键)。

如果不希望GnuPG自动决定使用哪个键，则<keyname>[keyname]</keyname>选择要使用的键。我预计这将作为local-key选项传递，因此它应该支持短键和长密钥ID、指纹和用户ID。GnuPG手册包含一个指定键的方法列表。

描述如何在这里指定键的大多数手册都使用短键ID (我强烈建议不要这样做，因为碰撞攻击 )，而是使用整个指纹。

还有其他选项可以更改键的选择。有关各个选项的更多详细信息，请参阅Maven GnuPG插件手册：

• 使用secretKeyring选择专用密钥环
• 使用GnuPG选择专用homedir主目录
• 使用local-user将GnuPG选项传递给gpgArguments