* --export, --no-export

[pgp-tools.git] / caff / caff
diff --git a/caff/caff b/caff/caff

index 009b0b5683d3234b6fece6512956d5eb6ab8e432..e77374037ab2ce0e5739bd252610c76e478df02f 100755 (executable)
--- a/caff/caff
+++ b/caff/caff
@@ -4,6 +4,7 @@
  # $Id$
  #
  # Copyright (c) 2004, 2005 Peter Palfrader <peter@palfrader.org>
  # $Id$
  #
  # Copyright (c) 2004, 2005 Peter Palfrader <peter@palfrader.org>
+# Copyright (c) 2005 Christoph Berg <cb@df7cb.de>
  #
  # All rights reserved.
  #
  #
  # All rights reserved.
  #
@@ -39,7 +40,7 @@ caff -- CA - Fire and Forget
  
  =over
  
  
  =over
  
-=item B<caff> [-mMR] [-u I<yourkeyid>] I<keyid> [I<keyid> ..]
+=item B<caff> [-eEmMRS] [-u I<yourkeyid>] I<keyid> [I<keyid> ..]
  
  =back
  
  
  =back
  
@@ -55,15 +56,24 @@ sigs and sigs done by you.
  
  =over
  
  
  =over
  
-=item B<-m> B<-M>
+=item B<-e>, B<--export>, B<-E>, B<--no-export>
+
+Export/do not export old signatures. Default is to ask the user for each old
+signature.
+
+=item B<-m>, B<--mail>, B<-M>, B<--no-mail>
  
  Send/do not send mail after signing. Default is to ask the user for each uid.
  
  
  Send/do not send mail after signing. Default is to ask the user for each uid.
  
-=item B<-R>
+=item B<-R>, B<--no-download>
  
  Do not retrieve the key to be signed from a keyserver.
  
  
  Do not retrieve the key to be signed from a keyserver.
  
-=item B<-u> I<yourkeyid>
+=item B<-S>, B<--no-sign>
+
+Do not sign the keys.
+
+=item B<-u> I<yourkeyid>, B<--local-user> I<yourkeyid>
  
  Select the key that is used for signing, in case you have more than one key.
  
  
  Select the key that is used for signing, in case you have more than one key.
  
@@ -87,14 +97,10 @@ Example:
         $CONFIG{email} = q{peter@palfrader.org};
         $CONFIG{keyid} = [ qw{DE7AAF6E94C09C7F 62AF4031C82E0039} ];
  
         $CONFIG{email} = q{peter@palfrader.org};
         $CONFIG{keyid} = [ qw{DE7AAF6E94C09C7F 62AF4031C82E0039} ];
  
-=head2 Valid keys
+=head2 Required basic settings
  
  =over
  
  
  =over
  
-=item B<caffhome> [string]
-
-Base directory for the files caff stores.  Default: B<$HOME/.caff/>.
-
  =item B<owner> [string]
  
  Your name.  B<REQUIRED>.
  =item B<owner> [string]
  
  Your name.  B<REQUIRED>.
@@ -109,14 +115,13 @@ A list of your keys.  This is used to determine which signatures to keep
  in the pruning step.  If you select a key using B<-u> it has to be in
  this list.  B<REQUIRED>.
  
  in the pruning step.  If you select a key using B<-u> it has to be in
  this list.  B<REQUIRED>.
  
-=item B<export-sig-age> [seconds]
+=head2 General settings
  
  
-Don't export UIDs by default, on which your latest signature is older
-than this age.  Default: B<24*60*60> (i.e. one day).
+=item B<caffhome> [string]
  
  
-=item B<keyserver> [string]
+Base directory for the files caff stores.  Default: B<$HOME/.caff/>.
  
  
-Keyserver to download keys from.  Default: B<subkeys.pgp.net>.
+=head2 GnuPG settings
  
  =item B<gpg> [string]
  
  
  =item B<gpg> [string]
  
@@ -141,20 +146,81 @@ Path to your secret keyring.  Default: B<$HOME/.gnupg/secring.gpg>.
  
  An additional keyid to encrypt messages to. Default: none.
  
  
  An additional keyid to encrypt messages to. Default: none.
  
+=item B<gpg-sign-args> [string]
+
+Additional arguments to pass to gpg. Default: none.
+
+=head2 Keyserver settings
+
+=item B<keyserver> [string]
+
+Keyserver to download keys from.  Default: B<subkeys.pgp.net>.
+
  =item B<no-download> [boolean]
  
  If true, then skip the step of fetching keys from the keyserver.
  Default: B<0>.
  
  =item B<no-download> [boolean]
  
  If true, then skip the step of fetching keys from the keyserver.
  Default: B<0>.
  
+=head2 Signing settings
+
  =item B<no-sign> [boolean]
  
  If true, then skip the signing step. Default: B<0>.
  
  =item B<no-sign> [boolean]
  
  If true, then skip the signing step. Default: B<0>.
  
+=item B<export-sig-age> [seconds]
+
+Don't export UIDs by default, on which your latest signature is older
+than this age.  Default: B<24*60*60> (i.e. one day).
+
+=head2 Mail settings
+
+=item B<mail> [boolean]
+
+Do not prompt for sending mail, just do it. Default: B<0>.
+
+=item B<no-mail> [boolean]
+
+Do not prompt for sending mail. The messages are still written to
+$CONFIG{caffhome}/keys/. Default: B<0>.
+
+=item B<mail-template> [string]
+
+Email template which is used as the body text for the email sent out
+instead of the default text if specified. The following perl variables
+can be used in the template:
+
+=over
+
+=item B<{owner}> [string]
+
+Your name as specified in the L<B<owner>|/item_owner__5bstring_5d> setting.
+
+=item B<{key}> [string]
+
+The keyid of the key you signed.
+
+=item B<{@uids}> [array]
+
+The UIDs for which signatures are included in the mail.
+
+=back
+
+=item B<bcc> [string]
+
+Address to send blind carbon copies to when sending mail.
+Default: none.
+
  =back
  
  =back
  
-=head1 AUTHOR
+=head1 AUTHORS
+
+=over
+
+=item Peter Palfrader <peter@palfrader.org>
  
  
-Peter Palfrader <peter@palfrader.org>
+=item Christoph Berg <cb@df7cb.de>
+
+=back
  
  =head1 WEBSITE
  
  
  =head1 WEBSITE
  
@@ -167,10 +233,11 @@ use IO::Handle;
  use English;
  use File::Path;
  use File::Temp qw{tempdir};
  use English;
  use File::Path;
  use File::Temp qw{tempdir};
+use Text::Template;
  use MIME::Entity;
  use Fcntl;
  use IO::Select;
  use MIME::Entity;
  use Fcntl;
  use IO::Select;
-use Getopt::Std;
+use Getopt::Long;
  use GnuPG::Interface;
  
  my %CONFIG;
  use GnuPG::Interface;
  
  my %CONFIG;
@@ -202,6 +269,24 @@ sub load_config() {
         $CONFIG{'secret-keyring'} = $ENV{'HOME'}.'/.gnupg/secring.gpg' unless defined $CONFIG{'secret-keyring'};
         $CONFIG{'no-download'} = 0 unless defined $CONFIG{'no-download'};
         $CONFIG{'no-sign'} = 0 unless defined $CONFIG{'no-sign'};
         $CONFIG{'secret-keyring'} = $ENV{'HOME'}.'/.gnupg/secring.gpg' unless defined $CONFIG{'secret-keyring'};
         $CONFIG{'no-download'} = 0 unless defined $CONFIG{'no-download'};
         $CONFIG{'no-sign'} = 0 unless defined $CONFIG{'no-sign'};
+       $CONFIG{'mail-template'} = <<'EOM' unless defined $CONFIG{'mail-template'};
+Hi,
+
+please find attached the user id{(scalar @uids >= 2 ? 's' : '')}.
+{foreach $uid (@uids) {
+    $OUT .= "\t".$uid."\n";
+};} of your key {$key} signed by me.
+
+Note that I did not upload your key to any keyservers. If you want this
+new signature to be available to others, please upload it yourself.
+With GnuPG this can be done using
+       gpg --keyserver subkeys.pgp.net --send-key {$key}
+
+If you have any questions, don't hesitate to ask.
+
+Regards,
+{$owner}
+EOM
  };
  
  sub notice($) {
  };
  
  sub notice($) {
@@ -334,8 +419,11 @@ sub readwrite_gpg($$$$$%) {
         return ($stdout, $stderr, $status);
  };
  
         return ($stdout, $stderr, $status);
  };
  
-sub ask($$) {
-       my ($question, $default) = @_;
+sub ask($$;$$) {
+       my ($question, $default, $forceyes, $forceno) = @_;
+       return $default if $forceyes and $forceno;
+       return 1 if $forceyes;
+       return 0 if $forceno;
         my $answer;
         while (1) {
                 print $question,' ',($default ? '[Y/n]' : '[y/N]'), ' ';
         my $answer;
         while (1) {
                 print $question,' ',($default ? '[Y/n]' : '[y/N]'), ' ';
@@ -362,7 +450,7 @@ my $KEYEDIT_KEYEDIT_OR_DELSIG_PROMPT = '^\[GNUPG:\] (GET_BOOL keyedit.delsig|GET
  my $KEYEDIT_DELSUBKEY_PROMPT = '^\[GNUPG:\] GET_BOOL keyedit.remove.subkey';
  
  load_config;
  my $KEYEDIT_DELSUBKEY_PROMPT = '^\[GNUPG:\] GET_BOOL keyedit.remove.subkey';
  
  load_config;
-my $USER_AGENT = "caff $VERSION - (c) 2004, 2005 Peter Palfrader";
+my $USER_AGENT = "caff $VERSION - (c) 2004, 2005 Peter Palfrader et al.";
  
  my $KEYSBASE =  $CONFIG{'caffhome'}.'/keys';
  my $GNUPGHOME = $CONFIG{'caffhome'}.'/gnupghome';
  
  my $KEYSBASE =  $CONFIG{'caffhome'}.'/keys';
  my $GNUPGHOME = $CONFIG{'caffhome'}.'/gnupghome';
@@ -375,12 +463,22 @@ my  ($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = localtime($NOW);
  my $DATE_STRING = sprintf("%04d-%02d-%02d", $year+1900, $mon+1, $mday);
  
  
  my $DATE_STRING = sprintf("%04d-%02d-%02d", $year+1900, $mon+1, $mday);
  
  
-sub usage() {
-       print STDERR "caff $VERSION - (c) 2004, 2005 Peter Palfrader\n";
-       print STDERR "Usage: $PROGRAM_NAME [-mMR] [-u <yourkeyid>] <keyid> [<keyid> ...]\n";
-       exit 1;
+sub version($) {
+       my ($fd) = @_;
+       print $fd "caff $VERSION - (c) 2004, 2005 Peter Palfrader et al.\n";
+};
+
+sub usage($$) {
+       my ($fd, $exitcode) = @_;
+       version($fd);
+       print $fd "Usage: $PROGRAM_NAME [-eEmMRS] [-u <yourkeyid>] <keyid> [<keyid> ...]\n";
+       print $fd "Consult the manual page for more information.\n";
+       exit $exitcode;
  };
  
  };
  
+######
+# export key $keyid from $gnupghome
+######
  sub export_key($$) {
         my ($gnupghome, $keyid) = @_;
  
  sub export_key($$) {
         my ($gnupghome, $keyid) = @_;
  
@@ -398,28 +496,50 @@ sub export_key($$) {
         return $stdout;
  };
  
         return $stdout;
  };
  
+######
+# import a key from the scalar $asciikey into a gpg homedirectory in $tempdir
+######
+sub import_key($$) {
+       my ($gnupghome, $asciikey) = @_;
+
+       my $gpg = GnuPG::Interface->new();
+       $gpg->call( $CONFIG{'gpg'} );
+       $gpg->options->hash_init( 'homedir' => $gnupghome );
+       $gpg->options->meta_interactive( 0 );
+       my ($inputfd, $stdoutfd, $stderrfd, $statusfd, $handles) = make_gpg_fds();
+       my $pid = $gpg->import_keys(handles => $handles);
+       my ($stdout, $stderr, $status) = readwrite_gpg($asciikey, $inputfd, $stdoutfd, $stderrfd, $statusfd);
+       waitpid $pid, 0;
+
+       if ($status !~ /^\[GNUPG:\] IMPORT_OK/m) {
+               return undef;
+       };
+       return 1;
+};
+
+
+######
+# Send an email to $address.  If $can_encrypt is true then the mail
+# will be PGP/MIME encrypted to $longkeyid.
+#
+# $longkeyid, $uid, and @attached will be used in the email and the template.
+######
  #send_mail($address, $can_encrypt, $longkeyid, $uid, @attached);
  sub send_mail($$$@) {
         my ($address, $can_encrypt, $key_id, @keys) = @_;
  
  #send_mail($address, $can_encrypt, $longkeyid, $uid, @attached);
  sub send_mail($$$@) {
         my ($address, $can_encrypt, $key_id, @keys) = @_;
  
-       my $message = "Hi,\n\n";
+       my $template = Text::Template->new(TYPE => 'STRING', SOURCE => $CONFIG{'mail-template'})
+           or die "Error creating template: $Text::Template::ERROR";
  
  
-       $message .= 'please find attached the user id'.(scalar @keys >= 2 ? 's' : '')."\n";
+       my @uids;
         for my $key (@keys) {
         for my $key (@keys) {
-               $message .= "\t".$key->{'text'}."\n";
+           push @uids, $key->{'text'};
         };
         };
-       $message .= qq{of your key $key_id signed by me.
-
-Note that I did not upload your key to any keyservers. If you want this
-new signature to be available to others, please upload it yourself.
-With GnuPG this can be done using
-       gpg --keyserver subkeys.pgp.net --send-key $key_id
-
-If you have any questions, don't hesitate to ask.
+       my $message = $template->fill_in(HASH => { key => $key_id,
+                                                  uids => \@uids,
+                                                  owner => $CONFIG{'owner'}})
+           or die "Error filling template in: $Text::Template::ERROR";
  
  
-Regards,
-$CONFIG{'owner'}
-};
         my $message_entity = MIME::Entity->build(
                 Type        => "text/plain",
                 Charset     => "utf-8",
         my $message_entity = MIME::Entity->build(
                 Type        => "text/plain",
                 Charset     => "utf-8",
@@ -478,11 +598,15 @@ $CONFIG{'owner'}
         $message_entity->head->add("Subject", "Your signed PGP key 0x$key_id");
         $message_entity->head->add("To", $address);
         $message_entity->head->add("From", '"'.$CONFIG{'owner'}.'" <'.$CONFIG{'email'}.'>');
         $message_entity->head->add("Subject", "Your signed PGP key 0x$key_id");
         $message_entity->head->add("To", $address);
         $message_entity->head->add("From", '"'.$CONFIG{'owner'}.'" <'.$CONFIG{'email'}.'>');
+       $message_entity->head->add("Bcc", $CONFIG{'bcc'}) if defined $CONFIG{'bcc'};
         $message_entity->head->add("User-Agent", $USER_AGENT);
         $message_entity->send();
         $message_entity->stringify();
  };
  
         $message_entity->head->add("User-Agent", $USER_AGENT);
         $message_entity->send();
         $message_entity->stringify();
  };
  
+######
+# clean up a UID so that it can be used on the FS.
+######
  sub sanitize_uid($) {
         my ($uid) = @_;
  
  sub sanitize_uid($) {
         my ($uid) = @_;
  
@@ -492,31 +616,108 @@ sub sanitize_uid($) {
         return $good_uid;
  };
  
         return $good_uid;
  };
  
+sub delete_signatures($$$$$$) {
+       my ($inputfd, $stdoutfd, $stderrfd, $statusfd, $longkeyid, $keyids) =@_;
+
+       my $signed_by_me = 0;
+
+       my ($stdout, $stderr, $status) =
+               readwrite_gpg("delsig\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_DELSIG_PROMPT, nocloseinput => 1);
+
+       while($status =~ /$KEYEDIT_DELSIG_PROMPT/m) {
+               # sig:?::17:EA2199412477CAF8:1058095214:::::13x:
+               my @sigline = grep { /^sig/ } (split /\n/, $stdout);
+               $stdout =~ s/\n/\\n/g;
+               notice("[sigremoval] why are there ".(scalar @sigline)." siglines in that part of the dialog!? got: $stdout") if scalar @sigline >= 2; # XXX
+               my $line = pop @sigline;
+               my $answer = "no";
+               if (defined $line) { # only if we found a sig here - we never remove revocation packets for instance
+                       debug("[sigremoval] doing line $line.");
+                       my (undef, undef, undef, undef, $signer, $created, undef, undef, undef) = split /:/, $line;
+                       if ($signer eq $longkeyid) {
+                               debug("[sigremoval] selfsig ($signer).");
+                               $answer = "no";
+                       } elsif (grep { $signer eq $_ } @{$keyids}) {
+                               debug("[sigremoval] signed by us ($signer).");
+                               $answer = "no";
+                               $signed_by_me = $signed_by_me > $created ? $signed_by_me : $created;
+                       } else {
+                               debug("[sigremoval] not interested in that sig ($signer).");
+                               $answer = "yes";
+                       };
+               } else {
+                       debug("[sigremoval] no sig line here, only got: ".$stdout);
+               };
+               ($stdout, $stderr, $status) =
+                       readwrite_gpg($answer."\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_KEYEDIT_OR_DELSIG_PROMPT, nocloseinput => 1);
+       };
+
+       return $signed_by_me;
+};
+
+
+
  my $USER;
  my @KEYIDS;
  my $USER;
  my @KEYIDS;
-my %opt;
+my $params;
+
+Getopt::Long::config('bundling');
+if (!GetOptions (
+       '-h'              =>  \$params->{'help'},
+       '--help'          =>  \$params->{'help'},
+       '--version'       =>  \$params->{'version'},
+       '-V'              =>  \$params->{'version'},
+       '-u=s'            =>  \$params->{'local-user'},
+       '--local-user=s'  =>  \$params->{'local-user'},
+       '-e'              =>  \$params->{'export'},
+       '--export'        =>  \$params->{'export'},
+       '-E'              =>  \$params->{'no-export'},
+       '--no-export'     =>  \$params->{'no-export'},
+       '-m'              =>  \$params->{'mail'},
+       '--mail'          =>  \$params->{'mail'},
+       '-M'              =>  \$params->{'no-mail'},
+       '--no-mail'       =>  \$params->{'no-mail'},
+       '-R'              =>  \$params->{'no-download'},
+       '--no-download'   =>  \$params->{'no-download'},
+       '-S'              =>  \$params->{'no-sign'},
+       '--no-sign'       =>  \$params->{'no-sign'},
+       )) {
+       usage(\*STDERR, 1);
+};
+if ($params->{'help'}) {
+       usage(\*STDOUT, 0);
+};
+if ($params->{'version'}) {
+       version(\*STDOUT);
+       exit(0);
+};
+usage(\*STDERR, 1) unless scalar @ARGV >= 1;
  
  
-getopts('mMRu:', \%opt);
  
  
-usage() unless scalar @ARGV >= 1;
-if ($opt{u}) {
-       $USER = $opt{u};
+
+if ($params->{'local-user'}) {
+       $USER = $params->{'local-user'};
         $USER =~ s/^0x//i;
         $USER =~ s/^0x//i;
-       unless ($USER =~ /^[A-Za-z0-9]{8,8}([A-Za-z0-9]{8})?$/) {
+       unless ($USER =~ /^([A-Z0-9]{8}|[A-Z0-9]{16}|[A-Z0-9]{32}|[A-Z0-9]{40})$/i) {
                 print STDERR "-u $USER is not a keyid.\n";
                 print STDERR "-u $USER is not a keyid.\n";
-               usage();
+               usage(\*STDERR, 1);
         };
         $USER = uc($USER);
  };
         };
         $USER = uc($USER);
  };
+
  for my $keyid (@ARGV) {
         $keyid =~ s/^0x//i;
  for my $keyid (@ARGV) {
         $keyid =~ s/^0x//i;
-       unless ($keyid =~ /^[A-Za-z0-9]{8}([A-Za-z0-9]{8}|[A-Za-z0-9]{32})?$/) {
+       unless ($keyid =~ /^([A-Z0-9]{8}|[A-Z0-9]{16}|[A-Z0-9]{32}|[A-Z0-9]{40})$/i) {
                 print STDERR "$keyid is not a keyid.\n";
                 print STDERR "$keyid is not a keyid.\n";
-               usage();
+               usage(\*STDERR, 1);
         };
         push @KEYIDS, uc($keyid);
  };
  
         };
         push @KEYIDS, uc($keyid);
  };
  
+$CONFIG{'no-download'} = $params->{'no-download'} if defined $params->{'no-download'};
+$CONFIG{'no-mail'}     = $params->{'no-mail'}     if defined $params->{'no-mail'};
+$CONFIG{'mail'}        = $params->{'mail'}        if defined $params->{'mail'};
+$CONFIG{'no-sign'}     = $params->{'no-sign'}     if defined $params->{'no-sign'};
  
  
  #################
  
  
  #################
@@ -548,10 +749,14 @@ for my $keyid (@ARGV) {
  # receive keys from keyserver
  #############################
  my @keyids_ok;
  # receive keys from keyserver
  #############################
  my @keyids_ok;
-my @keyids_failed;
-if ($CONFIG{'no-download'} or $opt{R}) {
+if ($CONFIG{'no-download'}) {
         @keyids_ok = @KEYIDS;
  } else {
         @keyids_ok = @KEYIDS;
  } else {
+       info ("fetching keys, this will take a while...");
+       if (grep { /^[A-Z0-9]{32}$/ } @KEYIDS) {
+               info ("found v3 key fingerprints in argument list - note that HKP keyservers do not support retrieving v3 keys by fingerprint");
+       }
+
         my $gpg = GnuPG::Interface->new();
         $gpg->call( $CONFIG{'gpg'} );
         $gpg->options->hash_init(
         my $gpg = GnuPG::Interface->new();
         $gpg->call( $CONFIG{'gpg'} );
         $gpg->options->hash_init(
@@ -559,49 +764,46 @@ if ($CONFIG{'no-download'} or $opt{R}) {
                 'extra_args' => '--keyserver='.$CONFIG{'keyserver'} );
         $gpg->options->meta_interactive( 0 );
         my ($inputfd, $stdoutfd, $stderrfd, $statusfd, $handles) = make_gpg_fds();
                 'extra_args' => '--keyserver='.$CONFIG{'keyserver'} );
         $gpg->options->meta_interactive( 0 );
         my ($inputfd, $stdoutfd, $stderrfd, $statusfd, $handles) = make_gpg_fds();
-       
-       my @local_keyids = @KEYIDS;
-       for my $keyid (@local_keyids) {
-               info ("fetching $keyid...");
-               my $pid = $gpg->recv_keys(handles => $handles, command_args => [ $keyid ]);
-               my ($stdout, $stderr, $status) = readwrite_gpg('', $inputfd, $stdoutfd, $stderrfd, $statusfd);
-               waitpid $pid, 0;
+       my $pid = $gpg->recv_keys(handles => $handles, command_args => [ @KEYIDS ]);
+       my ($stdout, $stderr, $status) = readwrite_gpg('', $inputfd, $stdoutfd, $stderrfd, $statusfd);
+       waitpid $pid, 0;
  
  # [GNUPG:] IMPORT_OK 0 5B00C96D5D54AEE1206BAF84DE7AAF6E94C09C7F
  # [GNUPG:] NODATA 1
  # [GNUPG:] NODATA 1
  # [GNUPG:] IMPORT_OK 0 25FC1614B8F87B52FF2F99B962AF4031C82E0039
  
  # [GNUPG:] IMPORT_OK 0 5B00C96D5D54AEE1206BAF84DE7AAF6E94C09C7F
  # [GNUPG:] NODATA 1
  # [GNUPG:] NODATA 1
  # [GNUPG:] IMPORT_OK 0 25FC1614B8F87B52FF2F99B962AF4031C82E0039
-               my $handled = 0;
-               for my $line (split /\n/, $status) {
-                       if ($line =~ /^\[GNUPG:\] IMPORT_OK \d+ ([0-9A-F]{40})/) {
-                               my $imported_key = $1;
-                               if ($keyid ne $imported_key &&
-                                   $keyid ne substr($imported_key, -16) &&
-                                   $keyid ne substr($imported_key, -8)) {
-                                   warn("Imported unexpected key.  expected: $keyid; got: $imported_key.\n");
-                                   next;
-                               };
-                               push @keyids_ok, $keyid;
-                               shift @KEYIDS;
-                               $handled = 1;
-                               last;
-                       } elsif ($line =~ /^\[GNUPG:\] NODATA/) {
-                               push @keyids_failed, $keyid;
-                               shift @KEYIDS;
-                               $handled = 1;
-                               last;
+       my %local_keyids = map { $_ => 1 } @KEYIDS;
+       for my $line (split /\n/, $status) {
+               if ($line =~ /^\[GNUPG:\] IMPORT_OK \d+ ([0-9A-F]{8})([0-9A-F]{16})([0-9A-F]{8})([0-9A-F]{0,8})/) {
+                       my $imported_key;
+                       $imported_key = $1.$2.$3    if $local_keyids{$1.$2.$3}; # v3 key
+                       $imported_key = $1.$2.$3.$4 if $local_keyids{$1.$2.$3.$4};
+                       $imported_key =       $3.$4 if $local_keyids{      $3.$4};
+                       $imported_key =          $4 if $local_keyids{         $4};
+                       unless ($imported_key) {
+                           warn("Imported unexpected key; got: $imported_key.\n");
+                           next;
                         };
                         };
-               };
-               unless ($handled) {
-                       notice ("Huh, what's up with $keyid?");
-                       push @keyids_failed, $keyid;
-                       shift @KEYIDS;
-               };
+                       debug ("Imported $imported_key");
+                       delete $local_keyids{$imported_key};
+                       unshift @keyids_ok, $imported_key;
+               } elsif ($line =~ /^\[GNUPG:\] NODATA 1$/) {
+               } elsif ($line =~ /^\[GNUPG:\] IMPORT_RES /) {
+               } else {
+                       notice ("got unknown reply from gpg: $line");
+               }
         };
         };
-       die ("Still keys in \@KEYIDS.  This should not happen.") if scalar @KEYIDS;
-       notice ("Import failed for: ". (join ' ', @keyids_failed).".") if scalar @keyids_failed;
+       if (scalar %local_keyids) {
+               notice ("Import failed for: ". (join ' ', keys %local_keyids).".");
+               exit 1 unless ask ("Some keys could not be imported - continue anyway?", 0);
+       }
  };
  
  };
  
+unless (@keyids_ok) {
+       notice ("No keys to sign found");
+       exit 0;
+}
+
  ###########
  # sign keys
  ###########
  ###########
  # sign keys
  ###########
@@ -613,8 +815,10 @@ unless ($CONFIG{'no-sign'}) {
                 push @command, '--local-user', $USER if (defined $USER);
                 push @command, "--homedir=$GNUPGHOME";
                 push @command, '--secret-keyring', $CONFIG{'secret-keyring'};
                 push @command, '--local-user', $USER if (defined $USER);
                 push @command, "--homedir=$GNUPGHOME";
                 push @command, '--secret-keyring', $CONFIG{'secret-keyring'};
+               push @command, split ' ', $CONFIG{'gpg-sign-args'} || "";
                 push @command, '--edit', $keyid;
                 push @command, 'sign';
                 push @command, '--edit', $keyid;
                 push @command, 'sign';
+               push @command, 'save';
                 print join(' ', @command),"\n";
                 system (@command);
         };
                 print join(' ', @command),"\n";
                 system (@command);
         };
@@ -674,20 +878,12 @@ for my $keyid (@keyids_ok) {
                 my $this_uid_text = '';
                 $uid_number++;
                 debug("Doing key $keyid, uid $uid_number");
                 my $this_uid_text = '';
                 $uid_number++;
                 debug("Doing key $keyid, uid $uid_number");
+               my $tempdir = tempdir( "caff-$keyid-XXXXX", DIR => '/tmp/', CLEANUP => 1);
  
                 # import into temporary gpghome
                 ###############################
  
                 # import into temporary gpghome
                 ###############################
-               my $tempdir = tempdir( "caff-$keyid-XXXXX", DIR => '/tmp/', CLEANUP => 1);
-               my $gpg = GnuPG::Interface->new();
-               $gpg->call( $CONFIG{'gpg'} );
-               $gpg->options->hash_init( 'homedir' => $tempdir );
-               $gpg->options->meta_interactive( 0 );
-               my ($inputfd, $stdoutfd, $stderrfd, $statusfd, $handles) = make_gpg_fds();
-               my $pid = $gpg->import_keys(handles => $handles);
-               my ($stdout, $stderr, $status) = readwrite_gpg($asciikey, $inputfd, $stdoutfd, $stderrfd, $statusfd);
-               waitpid $pid, 0;
-
-               if ($status !~ /^\[GNUPG:\] IMPORT_OK/m) {
+               my $result = import_key($tempdir, $asciikey);
+               unless ($result) {
                         warn ("Could not import $keyid into temporary gnupg.\n");
                         next;
                 };
                         warn ("Could not import $keyid into temporary gnupg.\n");
                         next;
                 };
@@ -727,27 +923,45 @@ for my $keyid (@keyids_ok) {
                         if ($uid_number != $i) {
                                 debug("mark for deletion.");
                                 readwrite_gpg("$i\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_PROMPT, nocloseinput => 1);
                         if ($uid_number != $i) {
                                 debug("mark for deletion.");
                                 readwrite_gpg("$i\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_PROMPT, nocloseinput => 1);
-                               $delete_some = 1;
+                               $delete_some++;
                         } else {
                                 debug("keep it.");
                                 $have_one = 1;
                         } else {
                                 debug("keep it.");
                                 $have_one = 1;
-                               $this_uid_text = ($type eq 'uid') ? $uidtext : 'attribute';
+                               $this_uid_text = ($type eq 'uid') ? $uidtext : '[attribute]';
                                 $is_uat = $type eq 'uat';
                         };
                         $i++;
                 };
                 debug("Parsing stdout output done.");
                                 $is_uat = $type eq 'uat';
                         };
                         $i++;
                 };
                 debug("Parsing stdout output done.");
-               if ($is_uat) {
-                       notice("Can't handle attribute userid of key $keyid.");
-                       next;
-               };
                 unless ($have_one) {
                         debug("Uid ".($uid_number-1)." was the last, there is no $uid_number.");
                         info("key $keyid done.");
                         last;
                 };
                 unless ($have_one) {
                         debug("Uid ".($uid_number-1)." was the last, there is no $uid_number.");
                         info("key $keyid done.");
                         last;
                 };
+
+               my $prune_some_sigs_on_uid;
+               my $prune_all_sigs_on_uid;
+               if ($is_uat) {
+                       debug("handling attribute userid of key $keyid.");
+                       if ($uid_number == 1) {
+                               debug(" attribute userid is #1, unmarking #2 for deletion.");
+                               readwrite_gpg("2\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_PROMPT, nocloseinput => 1);
+                               $delete_some--;
+                               $prune_some_sigs_on_uid = 1;
+                               $prune_all_sigs_on_uid = 2;
+                       } else {
+                               debug("attribute userid is not #1, unmarking #1 for deletion.");
+                               readwrite_gpg("1\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_PROMPT, nocloseinput => 1);
+                               $delete_some--;
+                               $prune_some_sigs_on_uid = 2;
+                               $prune_all_sigs_on_uid = 1;
+                       };
+               } else {
+                       $prune_some_sigs_on_uid = 1;
+               };
+
                 if ($delete_some) {
                 if ($delete_some) {
-                       debug("need to delete a few uids.");
+                       debug("need to delete $delete_some uids.");
                         readwrite_gpg("deluid\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_DELUID_PROMPT, nocloseinput => 1);
                         readwrite_gpg("yes\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_PROMPT, nocloseinput => 1);
                 };
                         readwrite_gpg("deluid\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_DELUID_PROMPT, nocloseinput => 1);
                         readwrite_gpg("yes\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_PROMPT, nocloseinput => 1);
                 };
@@ -764,38 +978,16 @@ for my $keyid (@keyids_ok) {
  
                 # delete signatures
                 ###################
  
                 # delete signatures
                 ###################
-               my $signed_by_me = 0;
-               readwrite_gpg("1\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_PROMPT, nocloseinput => 1);
-               ($stdout, $stderr, $status) =
-                       readwrite_gpg("delsig\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_DELSIG_PROMPT, nocloseinput => 1);
-
-               while($status =~ /$KEYEDIT_DELSIG_PROMPT/m) {
-                       # sig:?::17:EA2199412477CAF8:1058095214:::::13x:
-                       my @sigline = grep { /^sig/ } (split /\n/, $stdout);
-                       $stdout =~ s/\n/\\n/g;
-                       notice("[sigremoval] why are there ".(scalar @sigline)." siglines in that part of the dialog!? got: $stdout") if scalar @sigline >= 2; # XXX
-                       my $line = pop @sigline;
-                       my $answer = "no";
-                       if (defined $line) { # only if we found a sig here - we never remove revocation packets for instance
-                               debug("[sigremoval] doing line $line.");
-                               my (undef, undef, undef, undef, $signer, $created, undef, undef, undef) = split /:/, $line;
-                               if ($signer eq $longkeyid) {
-                                       debug("[sigremoval] selfsig ($signer).");
-                                       $answer = "no";
-                               } elsif (grep { $signer eq $_ } @{$CONFIG{'keyid'}}) {
-                                       debug("[sigremoval] signed by us ($signer).");
-                                       $answer = "no";
-                                       $signed_by_me = $signed_by_me > $created ? $signed_by_me : $created;
-                               } else {
-                                       debug("[sigremoval] not interested in that sig ($signer).");
-                                       $answer = "yes";
-                               };
-                       } else {
-                               debug("[sigremoval] no sig line here, only got: ".$stdout);
-                       };
-                       ($stdout, $stderr, $status) =
-                               readwrite_gpg($answer."\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_KEYEDIT_OR_DELSIG_PROMPT, nocloseinput => 1);
+               readwrite_gpg("$prune_some_sigs_on_uid\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_PROMPT, nocloseinput => 1); # mark uid for delsig
+               my $signed_by_me = delete_signatures($inputfd, $stdoutfd, $stderrfd, $statusfd, $longkeyid, $CONFIG{'keyid'});
+               readwrite_gpg("$prune_some_sigs_on_uid\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_PROMPT, nocloseinput => 1); # unmark uid from delsig
+               if (defined $prune_all_sigs_on_uid) {
+                       readwrite_gpg("$prune_all_sigs_on_uid\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_PROMPT, nocloseinput => 1); # mark uid for delsig
+                       delete_signatures($inputfd, $stdoutfd, $stderrfd, $statusfd, $longkeyid, []);
+                       readwrite_gpg("$prune_all_sigs_on_uid\n", $inputfd, $stdoutfd, $stderrfd, $statusfd, exitwhenstatusmatches => $KEYEDIT_PROMPT, nocloseinput => 1); # unmark uid from delsig
                 };
                 };
+
+
                 readwrite_gpg("save\n", $inputfd, $stdoutfd, $stderrfd, $statusfd);
                 waitpid $pid, 0;
  
                 readwrite_gpg("save\n", $inputfd, $stdoutfd, $stderrfd, $statusfd);
                 waitpid $pid, 0;
  
@@ -807,7 +999,7 @@ for my $keyid (@keyids_ok) {
  
                 if ($signed_by_me) {
                         if ($NOW - $signed_by_me > $CONFIG{'export-sig-age'} ) {
  
                 if ($signed_by_me) {
                         if ($NOW - $signed_by_me > $CONFIG{'export-sig-age'} ) {
-                               my $write = ask("Signature on $this_uid_text is old.  Export?", 0);
+                               my $write = ask("Signature on $this_uid_text is old.  Export?", 0, $params->{export}, $params->{'no-export'});
                                 next unless $write;
                         };
                         my $keydir = "$KEYSBASE/$DATE_STRING";
                                 next unless $write;
                         };
                         my $keydir = "$KEYSBASE/$DATE_STRING";
@@ -818,7 +1010,7 @@ for my $keyid (@keyids_ok) {
                         print KEY $asciikey;
                         close KEY;
  
                         print KEY $asciikey;
                         close KEY;
  
-                       push @UIDS, { text => $this_uid_text, key => $asciikey, serial => $uid_number };
+                       push @UIDS, { text => $this_uid_text, key => $asciikey, serial => $uid_number, "is_uat" => $is_uat };
  
                         info("$longkeyid $uid_number $this_uid_text done.");
                 } else {
  
                         info("$longkeyid $uid_number $this_uid_text done.");
                 } else {
@@ -829,12 +1021,15 @@ for my $keyid (@keyids_ok) {
         if (scalar @UIDS == 0) {
                 info("found no signed uids for $keyid");
         } else {
         if (scalar @UIDS == 0) {
                 info("found no signed uids for $keyid");
         } else {
-               next if $opt{M}; # do not send mail
+               next if $CONFIG{'no-mail'}; # do not send mail
  
                 my @attached;
                 for my $uid (@UIDS) {
                         trace("UID: $uid->{'text'}\n");
  
                 my @attached;
                 for my $uid (@UIDS) {
                         trace("UID: $uid->{'text'}\n");
-                       unless ($uid->{'text'} =~ /@/) {
+                       if ($uid->{'is_uat'}) {
+                               my $attach = ask("UID $uid->{'text'} is an attribute UID, attach it to every email sent?", 1);
+                               push @attached, $uid if $attach;
+                       } elsif ($uid->{'text'} !~ /@/) {
                                 my $attach = ask("UID $uid->{'text'} is no email address, attach it to every email sent?", 1);
                                 push @attached, $uid if $attach;
                         };
                                 my $attach = ask("UID $uid->{'text'} is no email address, attach it to every email sent?", 1);
                                 push @attached, $uid if $attach;
                         };
@@ -842,10 +1037,10 @@ for my $keyid (@keyids_ok) {
  
                 notice("Key has no encryption capabilities, mail will be sent unencrypted") unless $can_encrypt;
                 for my $uid (@UIDS) {
  
                 notice("Key has no encryption capabilities, mail will be sent unencrypted") unless $can_encrypt;
                 for my $uid (@UIDS) {
-                       if ($uid->{'text'} =~ /@/) {
+                       if (!$uid->{'is_uat'} && ($uid->{'text'} =~ /@/)) {
                                 my $address = $uid->{'text'};
                                 $address =~ s/.*<(.*)>.*/$1/;
                                 my $address = $uid->{'text'};
                                 $address =~ s/.*<(.*)>.*/$1/;
-                               if ($opt{m} or ask("Send mail to '$address' for $uid->{'text'}?", 1)) {
+                               if (ask("Send mail to '$address' for $uid->{'text'}?", 1, $CONFIG{'mail'})) {
                                         my $mail = send_mail($address, $can_encrypt, $longkeyid, $uid, @attached);
  
                                         my $keydir = "$KEYSBASE/$DATE_STRING";
                                         my $mail = send_mail($address, $can_encrypt, $longkeyid, $uid, @attached);
  
                                         my $keydir = "$KEYSBASE/$DATE_STRING";
@@ -859,59 +1054,3 @@ for my $keyid (@keyids_ok) {
         };
  
  };
         };
  
  };
-
-
-
-
-###############################################################3
-#### old fork gpg --edit
-=cut
-               my ($stdin_read, $stdin_write);
-               my ($stdout_read, $stdout_write);
-               my ($stderr_read, $stderr_write);
-               my ($status_read, $status_write);
-               pipe $stdin_read, $stdin_write;
-               pipe $stdout_read, $stdout_write;
-               pipe $stderr_read, $stderr_write;
-               pipe $status_read, $status_write;
-
-               $pid = fork();
-               unless ($pid) { # child
-                       close $stdin_write;
-                       close $stdout_read;
-                       close $stderr_read;
-                       close $status_read;
-
-                       my @call;
-                       push @call, $CONFIG{'gpg-delsig'};
-                       push @call, "--homedir=$tempdir";
-                       push @call, '--with-colons';
-                       push @call, '--fixed-list-mode';
-                       push @call, '--command-fd=0';
-                       push @call, "--status-fd=".fileno($status_write);
-                       push @call, "--no-tty";
-                       push @call, "--edit";
-                       push @call, $keyid;
-
-                       close STDIN;
-                       close STDOUT;
-                       close STDERR;
-                       open (STDIN, "<&".fileno($stdin_read)) or die ("Cannot reopen stdin: $!\n");
-                       open (STDOUT, ">&".fileno($stdout_write)) or die ("Cannot reopen stdout: $!\n");
-                       open (STDERR, ">&".fileno($stderr_write)) or die ("Cannot reopen stderr: $!\n");
-
-                       fcntl $status_write, F_SETFD, 0;
-
-                       exec (@call);
-                       exit;
-               };
-               close $stdin_read;
-               close $stdout_write;
-               close $stderr_write;
-               close $status_write;
-
-               $inputfd = $stdin_write;
-               $stdoutfd = $stdout_read;
-               $stderrfd = $stderr_read;
-               $statusfd = $status_read;
-=cut