<div>Someone brought it to my attention that my key is now one of the affected keys; I think from this we can probably surmise that whoever(s) is doing this probably reads this list as this email address doesn’t see heavy circulation.  <caret></caret></div><div><br></div><div id="protonmail_signature_block" class="protonmail_signature_block"><div><div>-Ryan McGinnis <br></div><div>https://bigstormpicture.com <br></div><div>PGP: 5C73 8727 EE58 786A 777C 4F1D B5AA 3FA3 486E D7AD<br></div><div>Sent with ProtonMail<br></div></div></div>  <div><br></div><div><br></div>On Sat, Jul 6, 2019 at 00:33, Teemu Likonen via Gnupg-users <<a href="mailto:gnupg-users@gnupg.org" class="">gnupg-users@gnupg.org</a>> wrote:<blockquote class="protonmail_quote" type="cite">  Konstantin Boyandin via Gnupg-users [2019-07-05T20:45:59-04:00] wrote:<br><br>> ATM, none of systems I use GnuPG in has been hit with the signature<br>> flood disaster. If I might miss that point - is it possible to get,<br>> somehow, the list of flooded keys IDs (if anyone keeps the stats)?<br><br>I don't maintain a list and such a list can be always outdated anyway.<br>Better option is to set protective settings right now in gpg.conf file.<br><br>    keyserver-options import-clean<br>    # maybe also:<br>    import-options import-clean<br><br>With option "import-clean" key import operations accept only key<br>signatures from already known keys. With poisoned keys the import<br>operation can take time but at least your local keyring is protected<br>from importing them.<br><br>The gpg(1) manual page for version 2.1.18 (Debian) is misleading,<br>though.<br><br>    import-clean<br>           After import, compact (remove all signatures except the<br>           self-signature) any user IDs from the new key that  are<br>           not  usable.   Then, remove any signatures from the new<br>           key that are not usable.  This includes signatures that<br>           were  issued  by  keys  that  are  not  present  on the<br>           keyring. This option is the same as running the --edit-<br>           key command "clean" after import. Defaults to no.<br><br>It says "After import" but according to Werner Koch[1] it actually<br>strips unknown key signatures _before_ importing them to the local<br>keyring. The manual also says that "This option is the same as running<br>the --edit-key command 'clean' after import." This is also wrong or<br>misleading because it may lead user thinking that in import oprations<br>first all keys and key signatures are imported to local keyring and then<br>they are cleaned.<br><br>-----<br>1. https://lists.gnupg.org/pipermail/gnupg-users/2019-July/062239.html<br><br>--<br>///  OpenPGP key: 4E1055DC84E9DFF613D78557719D69D324539450<br>//  https://keys.openpgp.org/search?q=tlikonen@iki.fi<br>/  https://keybase.io/tlikonen  https://github.com/tlikonen<br>_______________________________________________<br>Gnupg-users mailing list<br>Gnupg-users@gnupg.org<br>http://lists.gnupg.org/mailman/listinfo/gnupg-users<br></blockquote><div><br></div><div><br></div>