Zammad项目中PGP加密功能对已撤销UID的处理缺陷分析

问题背景

Zammad是一款开源的客户支持与票务系统，其6.2.0版本中存在一个关于PGP加密邮件功能的缺陷。当系统尝试向包含已撤销用户ID(UID)的PGP密钥发送加密邮件时，即使目标邮箱地址对应的UID未被撤销，加密过程也会失败。

技术细节

当前实现的问题

系统当前的PGP加密实现存在两个主要技术问题：

1. 全UID加密策略：系统会尝试使用密钥中所有UID（包括已撤销的）进行加密，而不仅仅是邮件收件人指定的那个邮箱地址。这导致当密钥中存在任何已撤销UID时，整个加密过程就会失败。

2. 错误处理机制不完善：系统未能正确处理GnuPG返回的关于已撤销UID的错误信息，导致整个加密操作被中止，而不是继续为有效UID完成加密。

加密流程分析

从错误日志可以看出，系统执行PGP加密时：

• 调用了GnuPG命令行工具
• 传入了--trust-model always参数强制信任所有密钥
• 为密钥中的每个UID（包括已撤销的）都添加了--recipient参数
• 当遇到已撤销UID时，GnuPG返回INV_RECP和FAILURE encrypt状态
• 系统将这些状态视为致命错误，终止了整个加密过程

解决方案方向

正确的实现应该：

1. 选择性加密：只针对邮件中实际指定的收件人邮箱地址进行加密，忽略密钥中的其他UID。

2. 健壮的错误处理：

   • 区分"找不到密钥"和"密钥已撤销"等不同错误情况
   • 对于部分UID加密失败的情况，仍应继续为有效UID完成加密
   • 仅在没有任何有效收件人的情况下才报错

3. 密钥管理优化：

   • 在导入PGP密钥时标记已撤销的UID
   • 在查找收件人密钥时排除已撤销的UID

影响与重要性

这个缺陷会影响所有使用Zammad发送PGP加密邮件的场景，特别是当收件人密钥历史上有过UID变更（如邮箱地址更新）的情况。修复后将提高系统的可靠性和兼容性，确保加密邮件能正确发送给有效收件人。

技术建议

对于使用Zammad并遇到此问题的管理员，临时解决方案可以是：

1. 要求收件人提供不包含已撤销UID的新密钥
2. 或手动从密钥中移除已撤销的UID

长期而言，等待官方修复此缺陷是最佳选择，因为临时方案可能影响密钥的真实性验证。