gpg: Change --show-session-key to print the session key earlier.
[gnupg.git] / g10 / keylist.c
index 460e889..356fac3 100644 (file)
@@ -1,6 +1,6 @@
 /* keylist.c - Print information about OpenPGP keys
  * Copyright (C) 1998, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2006,
- *               2008, 2010 Free Software Foundation, Inc.
+ *               2008, 2010, 2012 Free Software Foundation, Inc.
  *
  * This file is part of GnuPG.
  *
 #include "main.h"
 #include "i18n.h"
 #include "status.h"
+#include "call-agent.h"
 
 static void list_all (int);
 static void list_one (strlist_t names, int secret);
-static void locate_one (strlist_t names);
-static void print_card_serialno (PKT_secret_key * sk);
+static void locate_one (ctrl_t ctrl, strlist_t names);
+static void print_card_serialno (const char *serialno);
 
 struct sig_stats
 {
@@ -54,49 +55,51 @@ struct sig_stats
 };
 
 /* The stream used to write attribute packets to.  */
-static FILE *attrib_fp = NULL;
+static estream_t attrib_fp;
 
 
 /* List the keys.  If list is NULL, all available keys are listed.
    With LOCATE_MODE set the locate algorithm is used to find a
    key.  */
 void
-public_key_list (strlist_t list, int locate_mode)
+public_key_list (ctrl_t ctrl, strlist_t list, int locate_mode)
 {
   if (opt.with_colons)
     {
-      byte trust_model, marginals, completes, cert_depth;
+      byte trust_model, marginals, completes, cert_depth, min_cert_level;
       ulong created, nextcheck;
 
       read_trust_options (&trust_model, &created, &nextcheck,
-                         &marginals, &completes, &cert_depth);
+                         &marginals, &completes, &cert_depth, &min_cert_level);
 
-      printf ("tru:");
+      es_fprintf (es_stdout, "tru:");
 
       if (nextcheck && nextcheck <= make_timestamp ())
-       printf ("o");
+       es_fprintf (es_stdout, "o");
       if (trust_model != opt.trust_model)
-       printf ("t");
+       es_fprintf (es_stdout, "t");
       if (opt.trust_model == TM_PGP || opt.trust_model == TM_CLASSIC)
        {
          if (marginals != opt.marginals_needed)
-           printf ("m");
+           es_fprintf (es_stdout, "m");
          if (completes != opt.completes_needed)
-           printf ("c");
+           es_fprintf (es_stdout, "c");
          if (cert_depth != opt.max_cert_depth)
-           printf ("d");
+           es_fprintf (es_stdout, "d");
+         if (min_cert_level != opt.min_cert_level)
+           es_fprintf (es_stdout, "l");
        }
 
-      printf (":%d:%lu:%lu", trust_model, created, nextcheck);
+      es_fprintf (es_stdout, ":%d:%lu:%lu", trust_model, created, nextcheck);
 
       /* Only show marginals, completes, and cert_depth in the classic
          or PGP trust models since they are not meaningful
          otherwise. */
 
       if (trust_model == TM_PGP || trust_model == TM_CLASSIC)
-       printf (":%d:%d:%d", marginals, completes, cert_depth);
+       es_fprintf (es_stdout, ":%d:%d:%d", marginals, completes, cert_depth);
 
-      printf ("\n");
+      es_fprintf (es_stdout, "\n");
     }
 
   /* We need to do the stale check right here because it might need to
@@ -107,7 +110,7 @@ public_key_list (strlist_t list, int locate_mode)
   check_trustdb_stale ();
 
   if (locate_mode)
-    locate_one (list);
+    locate_one (ctrl, list);
   else if (!list)
     list_all (0);
   else
@@ -116,8 +119,10 @@ public_key_list (strlist_t list, int locate_mode)
 
 
 void
-secret_key_list (strlist_t list)
+secret_key_list (ctrl_t ctrl, strlist_t list)
 {
+  (void)ctrl;
+
   check_trustdb_stale ();
 
   if (!list)
@@ -127,18 +132,18 @@ secret_key_list (strlist_t list)
 }
 
 void
-print_seckey_info (PKT_secret_key * sk)
+print_seckey_info (PKT_public_key *pk)
 {
   u32 keyid[2];
   char *p;
 
-  keyid_from_sk (sk, keyid);
+  keyid_from_pk (pk, keyid);
   p = get_user_id_native (keyid);
 
   tty_printf ("\nsec  %4u%c/%s %s %s\n",
-             nbits_from_sk (sk),
-             pubkey_letter (sk->pubkey_algo),
-             keystr (keyid), datestr_from_sk (sk), p);
+             nbits_from_pk (pk),
+             pubkey_letter (pk->pubkey_algo),
+             keystr (keyid), datestr_from_pk (pk), p);
 
   xfree (p);
 }
@@ -147,7 +152,7 @@ print_seckey_info (PKT_secret_key * sk)
    the tty output interface is used, otherwise output is directted to
    the given stream.  */
 void
-print_pubkey_info (FILE * fp, PKT_public_key * pk)
+print_pubkey_info (estream_t fp, PKT_public_key * pk)
 {
   u32 keyid[2];
   char *p;
@@ -162,70 +167,75 @@ print_pubkey_info (FILE * fp, PKT_public_key * pk)
     p = get_user_id_native (keyid);
 
   if (fp)
-    fprintf (fp, "pub  %4u%c/%s %s %s\n",
-            nbits_from_pk (pk),
-            pubkey_letter (pk->pubkey_algo),
-            keystr (keyid), datestr_from_pk (pk), p);
-  else
-    tty_printf ("\npub  %4u%c/%s %s %s\n",
-               nbits_from_pk (pk), pubkey_letter (pk->pubkey_algo),
-               keystr (keyid), datestr_from_pk (pk), p);
-
+    tty_printf ("\n");
+  tty_fprintf (fp, "pub  %4u%c/%s %s %s\n",
+               nbits_from_pk (pk),
+               pubkey_letter (pk->pubkey_algo),
+               keystr (keyid), datestr_from_pk (pk), p);
   xfree (p);
 }
 
 
 /* Print basic information of a secret key including the card serial
    number information.  */
+#ifdef ENABLE_CARD_SUPPORT
 void
-print_card_key_info (FILE * fp, KBNODE keyblock)
+print_card_key_info (estream_t fp, kbnode_t keyblock)
 {
-  KBNODE node;
-  int i;
+  kbnode_t node;
+  char *hexgrip;
+  char *serialno;
+  int s2k_char;
 
   for (node = keyblock; node; node = node->next)
     {
-      if (node->pkt->pkttype == PKT_SECRET_KEY
-         || (node->pkt->pkttype == PKT_SECRET_SUBKEY))
-       {
-         PKT_secret_key *sk = node->pkt->pkt.secret_key;
-
-         tty_fprintf (fp, "%s%c  %4u%c/%s  ",
-                      node->pkt->pkttype == PKT_SECRET_KEY ? "sec" : "ssb",
-                      (sk->protect.s2k.mode == 1001) ? '#' :
-                      (sk->protect.s2k.mode == 1002) ? '>' : ' ',
-                      nbits_from_sk (sk),
-                      pubkey_letter (sk->pubkey_algo), keystr_from_sk (sk));
-         tty_fprintf (fp, _("created: %s"), datestr_from_sk (sk));
-         tty_fprintf (fp, "  ");
-         tty_fprintf (fp, _("expires: %s"), expirestr_from_sk (sk));
-         if (sk->is_protected && sk->protect.s2k.mode == 1002)
-           {
-             tty_fprintf (fp, "\n                      ");
-             tty_fprintf (fp, _("card-no: "));
-             if (sk->protect.ivlen == 16
-                 && !memcmp (sk->protect.iv, "\xD2\x76\x00\x01\x24\x01", 6))
-               {
-                 /* This is an OpenPGP card. */
-                 for (i = 8; i < 14; i++)
-                   {
-                     if (i == 10)
-                       tty_fprintf (fp, " ");
-                     tty_fprintf (fp, "%02X", sk->protect.iv[i]);
-                   }
-               }
-             else
-               {
-                  /* Something is wrong: Print all. */
-                 for (i = 0; i < sk->protect.ivlen; i++)
-                   tty_fprintf (fp, "%02X", sk->protect.iv[i]);
-               }
-           }
-         tty_fprintf (fp, "\n");
-       }
+      if (node->pkt->pkttype == PKT_PUBLIC_KEY
+          || node->pkt->pkttype == PKT_PUBLIC_SUBKEY)
+        {
+          int rc;
+          PKT_public_key *pk = node->pkt->pkt.public_key;
+
+          serialno = NULL;
+          rc = hexkeygrip_from_pk (pk, &hexgrip);
+          if (rc)
+            {
+              log_error ("error computing a keygrip: %s\n", gpg_strerror (rc));
+              s2k_char = '?';
+            }
+          else if (!agent_get_keyinfo (NULL, hexgrip, &serialno))
+            s2k_char = serialno? '>':' ';
+          else
+            s2k_char = '#';  /* Key not found.  */
+
+          tty_fprintf (fp, "%s%c  %4u%c/%s  ",
+                       node->pkt->pkttype == PKT_PUBLIC_KEY ? "sec" : "ssb",
+                       s2k_char, nbits_from_pk (pk),
+                       pubkey_letter (pk->pubkey_algo), keystr_from_pk (pk));
+          tty_fprintf (fp, _("created: %s"), datestr_from_pk (pk));
+          tty_fprintf (fp, "  ");
+          tty_fprintf (fp, _("expires: %s"), expirestr_from_pk (pk));
+          if (serialno)
+            {
+              tty_fprintf (fp, "\n                      ");
+              tty_fprintf (fp, _("card-no: "));
+              if (strlen (serialno) == 32
+                  && !strncmp (serialno, "D27600012401", 12))
+                {
+                  /* This is an OpenPGP card.  Print the relevant part.  */
+                  /* Example: D2760001240101010001000003470000 */
+                  /*                          xxxxyyyyyyyy     */
+                  tty_fprintf (fp, "%.*s %.*s", 4, serialno+16, 8, serialno+20);
+                }
+              else
+                tty_fprintf (fp, "%s", serialno);
+            }
+          tty_fprintf (fp, "\n");
+          xfree (hexgrip);
+          xfree (serialno);
+        }
     }
 }
-
+#endif /*ENABLE_CARD_SUPPORT*/
 
 
 /* Flags = 0x01 hashed 0x02 critical.  */
@@ -239,7 +249,8 @@ status_one_subpacket (sigsubpkttype_t type, size_t len, int flags,
   if (len > 256)
     return;
 
-  sprintf (status, "%d %u %u ", type, flags, (unsigned int) len);
+  snprintf (status, sizeof status,
+            "%d %u %u ", type, flags, (unsigned int) len);
 
   write_status_text_and_buffer (STATUS_SIG_SUBPACKET, status, buf, len, 0);
 }
@@ -256,7 +267,7 @@ show_policy_url (PKT_signature * sig, int indent, int mode)
   const byte *p;
   size_t len;
   int seq = 0, crit;
-  FILE *fp = mode ? log_get_stream () : stdout;
+  estream_t fp = mode ? log_get_stream () : es_stdout;
 
   while ((p =
          enum_sig_subpkt (sig->hashed, SIGSUBPKT_POLICY, &len, &seq, &crit)))
@@ -267,7 +278,7 @@ show_policy_url (PKT_signature * sig, int indent, int mode)
          const char *str;
 
          for (i = 0; i < indent; i++)
-           putchar (' ');
+           es_putc (' ', fp);
 
          if (crit)
            str = _("Critical signature policy: ");
@@ -276,9 +287,9 @@ show_policy_url (PKT_signature * sig, int indent, int mode)
          if (mode)
            log_info ("%s", str);
          else
-           printf ("%s", str);
-         print_utf8_string (fp, p, len);
-         fprintf (fp, "\n");
+           es_fprintf (fp, "%s", str);
+         print_utf8_buffer (fp, p, len);
+         es_fprintf (fp, "\n");
        }
 
       if (mode)
@@ -299,7 +310,7 @@ show_keyserver_url (PKT_signature * sig, int indent, int mode)
   const byte *p;
   size_t len;
   int seq = 0, crit;
-  FILE *fp = mode ? log_get_stream () : stdout;
+  estream_t fp = mode ? log_get_stream () : es_stdout;
 
   while ((p =
          enum_sig_subpkt (sig->hashed, SIGSUBPKT_PREF_KS, &len, &seq,
@@ -311,7 +322,7 @@ show_keyserver_url (PKT_signature * sig, int indent, int mode)
          const char *str;
 
          for (i = 0; i < indent; i++)
-           putchar (' ');
+           es_putc (' ', es_stdout);
 
          if (crit)
            str = _("Critical preferred keyserver: ");
@@ -320,9 +331,9 @@ show_keyserver_url (PKT_signature * sig, int indent, int mode)
          if (mode)
            log_info ("%s", str);
          else
-           printf ("%s", str);
-         print_utf8_string (fp, p, len);
-         fprintf (fp, "\n");
+           es_fprintf (es_stdout, "%s", str);
+         print_utf8_buffer (fp, p, len);
+         es_fprintf (fp, "\n");
        }
 
       if (mode)
@@ -343,7 +354,7 @@ show_keyserver_url (PKT_signature * sig, int indent, int mode)
 void
 show_notation (PKT_signature * sig, int indent, int mode, int which)
 {
-  FILE *fp = mode ? log_get_stream () : stdout;
+  estream_t fp = mode ? log_get_stream () : es_stdout;
   struct notation *nd, *notations;
 
   if (which == 0)
@@ -364,7 +375,7 @@ show_notation (PKT_signature * sig, int indent, int mode, int which)
              const char *str;
 
              for (i = 0; i < indent; i++)
-               putchar (' ');
+               es_putc (' ', es_stdout);
 
              if (nd->flags.critical)
                str = _("Critical signature notation: ");
@@ -373,12 +384,12 @@ show_notation (PKT_signature * sig, int indent, int mode, int which)
              if (mode)
                log_info ("%s", str);
              else
-               printf ("%s", str);
+               es_fprintf (es_stdout, "%s", str);
              /* This is all UTF8 */
-             print_utf8_string (fp, nd->name, strlen (nd->name));
-             fprintf (fp, "=");
-             print_utf8_string (fp, nd->value, strlen (nd->value));
-             fprintf (fp, "\n");
+             print_utf8_buffer (fp, nd->name, strlen (nd->name));
+             es_fprintf (fp, "=");
+             print_utf8_buffer (fp, nd->value, strlen (nd->value));
+             es_fprintf (fp, "\n");
            }
        }
 
@@ -423,14 +434,14 @@ list_all (int secret)
 
   memset (&stats, 0, sizeof (stats));
 
-  hd = keydb_new (secret);
+  hd = keydb_new ();
   if (!hd)
-    rc = G10ERR_GENERAL;
+    rc = gpg_error (GPG_ERR_GENERAL);
   else
     rc = keydb_search_first (hd);
   if (rc)
     {
-      if (rc != -1)
+      if (gpg_err_code (rc) != GPG_ERR_NOT_FOUND)
        log_error ("keydb_search_first failed: %s\n", g10_errstr (rc));
       goto leave;
     }
@@ -444,28 +455,33 @@ list_all (int secret)
          log_error ("keydb_get_keyblock failed: %s\n", g10_errstr (rc));
          goto leave;
        }
-      if (!opt.with_colons)
-       {
-         resname = keydb_get_resource_name (hd);
-         if (lastresname != resname)
-           {
-             int i;
-
-             printf ("%s\n", resname);
-             for (i = strlen (resname); i; i--)
-               putchar ('-');
-             putchar ('\n');
-             lastresname = resname;
-           }
-       }
-      merge_keys_and_selfsig (keyblock);
-      list_keyblock (keyblock, secret, opt.fingerprint,
-                    opt.check_sigs ? &stats : NULL);
+      if (secret && agent_probe_any_secret_key (NULL, keyblock))
+        ; /* Secret key listing requested but this isn't one.  */
+      else
+        {
+          if (!opt.with_colons)
+            {
+              resname = keydb_get_resource_name (hd);
+              if (lastresname != resname)
+                {
+                  int i;
+
+                  es_fprintf (es_stdout, "%s\n", resname);
+                  for (i = strlen (resname); i; i--)
+                    es_putc ('-', es_stdout);
+                  es_putc ('\n', es_stdout);
+                  lastresname = resname;
+                }
+            }
+          merge_keys_and_selfsig (keyblock);
+          list_keyblock (keyblock, secret, opt.fingerprint,
+                         opt.check_sigs ? &stats : NULL);
+        }
       release_kbnode (keyblock);
       keyblock = NULL;
     }
   while (!(rc = keydb_search_next (hd)));
-  if (rc && rc != -1)
+  if (rc && gpg_err_code (rc) != GPG_ERR_NOT_FOUND)
     log_error ("keydb_search_next failed: %s\n", g10_errstr (rc));
 
   if (opt.check_sigs && !opt.with_colons)
@@ -499,57 +515,30 @@ list_one (strlist_t names, int secret)
    * functions) or to have the search function return indicators for
    * found names.  Yet another way is to use the keydb search
    * facilities directly. */
-  if (secret)
+  rc = getkey_bynames (&ctx, NULL, names, secret, &keyblock);
+  if (rc)
     {
-      rc = get_seckey_bynames (&ctx, NULL, names, &keyblock);
-      if (rc)
-       {
-         log_error ("error reading key: %s\n", g10_errstr (rc));
-         get_seckey_end (ctx);
-         return;
-       }
-      do
-       {
-         if ((opt.list_options & LIST_SHOW_KEYRING) && !opt.with_colons)
-           {
-             resname = keydb_get_resource_name (get_ctx_handle (ctx));
-             printf ("%s: %s\n", keyring_str, resname);
-             for (i = strlen (resname) + strlen (keyring_str) + 2; i; i--)
-               putchar ('-');
-             putchar ('\n');
-           }
-         list_keyblock (keyblock, 1, opt.fingerprint, NULL);
-         release_kbnode (keyblock);
-       }
-      while (!get_seckey_next (ctx, NULL, &keyblock));
-      get_seckey_end (ctx);
+      log_error ("error reading key: %s\n", g10_errstr (rc));
+      get_pubkey_end (ctx);
+      return;
     }
-  else
+
+  do
     {
-      rc = get_pubkey_bynames (&ctx, NULL, names, &keyblock);
-      if (rc)
-       {
-         log_error ("error reading key: %s\n", g10_errstr (rc));
-         get_pubkey_end (ctx);
-         return;
-       }
-      do
-       {
-         if ((opt.list_options & LIST_SHOW_KEYRING) && !opt.with_colons)
-           {
-             resname = keydb_get_resource_name (get_ctx_handle (ctx));
-             printf ("%s: %s\n", keyring_str, resname);
-             for (i = strlen (resname) + strlen (keyring_str) + 2; i; i--)
-               putchar ('-');
-             putchar ('\n');
-           }
-         list_keyblock (keyblock, 0, opt.fingerprint,
-                        opt.check_sigs ? &stats : NULL);
-         release_kbnode (keyblock);
-       }
-      while (!get_pubkey_next (ctx, NULL, &keyblock));
-      get_pubkey_end (ctx);
+      if ((opt.list_options & LIST_SHOW_KEYRING) && !opt.with_colons)
+        {
+          resname = keydb_get_resource_name (get_ctx_handle (ctx));
+          es_fprintf (es_stdout, "%s: %s\n", keyring_str, resname);
+          for (i = strlen (resname) + strlen (keyring_str) + 2; i; i--)
+            es_putc ('-', es_stdout);
+          es_putc ('\n', es_stdout);
+        }
+      list_keyblock (keyblock, secret, opt.fingerprint,
+                     (!secret && opt.check_sigs)? &stats : NULL);
+      release_kbnode (keyblock);
     }
+  while (!getkey_next (ctx, NULL, &keyblock));
+  getkey_end (ctx);
 
   if (opt.check_sigs && !opt.with_colons)
     print_signature_stats (&stats);
@@ -557,7 +546,7 @@ list_one (strlist_t names, int secret)
 
 
 static void
-locate_one (strlist_t names)
+locate_one (ctrl_t ctrl, strlist_t names)
 {
   int rc = 0;
   strlist_t sl;
@@ -569,7 +558,7 @@ locate_one (strlist_t names)
 
   for (sl = names; sl; sl = sl->next)
     {
-      rc = get_pubkey_byname (&ctx, NULL, sl->d, &keyblock, NULL, 1, 0);
+      rc = get_pubkey_byname (ctrl, &ctx, NULL, sl->d, &keyblock, NULL, 1, 0);
       if (rc)
        {
          if (gpg_err_code (rc) != GPG_ERR_NO_PUBKEY)
@@ -602,47 +591,48 @@ print_key_data (PKT_public_key * pk)
 
   for (i = 0; i < n; i++)
     {
-      printf ("pkd:%d:%u:", i, mpi_get_nbits (pk->pkey[i]));
-      mpi_print (stdout, pk->pkey[i], 1);
-      putchar (':');
-      putchar ('\n');
+      es_fprintf (es_stdout, "pkd:%d:%u:", i, mpi_get_nbits (pk->pkey[i]));
+      mpi_print (es_stdout, pk->pkey[i], 1);
+      es_putc (':', es_stdout);
+      es_putc ('\n', es_stdout);
     }
 }
 
 static void
-print_capabilities (PKT_public_key * pk, PKT_secret_key * sk, KBNODE keyblock)
+print_capabilities (PKT_public_key *pk, KBNODE keyblock)
 {
-  if (pk || (sk && sk->protect.s2k.mode != 1001))
-    {
-      unsigned int use = pk ? pk->pubkey_usage : sk->pubkey_usage;
-      int c_printed = 0;
+  unsigned int use = pk->pubkey_usage;
+  int c_printed = 0;
 
-      if (use & PUBKEY_USAGE_ENC)
-       putchar ('e');
+  if (use & PUBKEY_USAGE_ENC)
+    es_putc ('e', es_stdout);
 
-      if (use & PUBKEY_USAGE_SIG)
-       {
-         putchar ('s');
-         if (pk ? pk->is_primary : sk->is_primary)
-           {
-             putchar ('c');
-             /* The PUBKEY_USAGE_CERT flag was introduced later and
-                we used to always print 'c' for a primary key.  To
-                avoid any regression here we better track whether we
-                printed 'c' already.  */
-             c_printed = 1;
-           }
-       }
+  if (use & PUBKEY_USAGE_SIG)
+    {
+      es_putc ('s', es_stdout);
+      if (pk->flags.primary)
+        {
+          es_putc ('c', es_stdout);
+          /* The PUBKEY_USAGE_CERT flag was introduced later and we
+             used to always print 'c' for a primary key.  To avoid any
+             regression here we better track whether we printed 'c'
+             already.  */
+          c_printed = 1;
+        }
+    }
 
-      if ((use & PUBKEY_USAGE_CERT) && !c_printed)
-       putchar ('c');
+  if ((use & PUBKEY_USAGE_CERT) && !c_printed)
+    es_putc ('c', es_stdout);
 
-      if ((use & PUBKEY_USAGE_AUTH))
-       putchar ('a');
-    }
+  if ((use & PUBKEY_USAGE_AUTH))
+    es_putc ('a', es_stdout);
+
+  if ((use & PUBKEY_USAGE_UNKNOWN))
+    es_putc ('?', es_stdout);
 
   if (keyblock)
-    {                          /* figure out the usable capabilities */
+    {
+      /* Figure out the usable capabilities.  */
       KBNODE k;
       int enc = 0, sign = 0, cert = 0, auth = 0, disabled = 0;
 
@@ -653,17 +643,17 @@ print_capabilities (PKT_public_key * pk, PKT_secret_key * sk, KBNODE keyblock)
            {
              pk = k->pkt->pkt.public_key;
 
-             if (pk->is_primary)
+             if (pk->flags.primary)
                disabled = pk_is_disabled (pk);
 
-             if (pk->is_valid && !pk->is_revoked && !pk->has_expired)
+             if (pk->flags.valid && !pk->flags.revoked && !pk->has_expired)
                {
                  if (pk->pubkey_usage & PUBKEY_USAGE_ENC)
                    enc = 1;
                  if (pk->pubkey_usage & PUBKEY_USAGE_SIG)
                    {
                      sign = 1;
-                     if (pk->is_primary)
+                     if (pk->flags.primary)
                        cert = 1;
                    }
                  if (pk->pubkey_usage & PUBKEY_USAGE_CERT)
@@ -672,43 +662,23 @@ print_capabilities (PKT_public_key * pk, PKT_secret_key * sk, KBNODE keyblock)
                    auth = 1;
                }
            }
-         else if (k->pkt->pkttype == PKT_SECRET_KEY
-                  || k->pkt->pkttype == PKT_SECRET_SUBKEY)
-           {
-             sk = k->pkt->pkt.secret_key;
-             if (sk->is_valid && !sk->is_revoked && !sk->has_expired
-                 && sk->protect.s2k.mode != 1001)
-               {
-                 if (sk->pubkey_usage & PUBKEY_USAGE_ENC)
-                   enc = 1;
-                 if (sk->pubkey_usage & PUBKEY_USAGE_SIG)
-                   {
-                     sign = 1;
-                     if (sk->is_primary)
-                       cert = 1;
-                   }
-                 if ((sk->pubkey_usage & PUBKEY_USAGE_CERT))
-                   cert = 1;
-                 if ((sk->pubkey_usage & PUBKEY_USAGE_AUTH))
-                   auth = 1;
-               }
-           }
        }
       if (enc)
-       putchar ('E');
+       es_putc ('E', es_stdout);
       if (sign)
-       putchar ('S');
+       es_putc ('S', es_stdout);
       if (cert)
-       putchar ('C');
+       es_putc ('C', es_stdout);
       if (auth)
-       putchar ('A');
+       es_putc ('A', es_stdout);
       if (disabled)
-       putchar ('D');
+       es_putc ('D', es_stdout);
     }
 
-  putchar (':');
+  es_putc (':', es_stdout);
 }
 
+
 /* FLAGS: 0x01 hashed
           0x02 critical  */
 static void
@@ -717,20 +687,21 @@ print_one_subpacket (sigsubpkttype_t type, size_t len, int flags,
 {
   size_t i;
 
-  printf ("spk:%d:%u:%u:", type, flags, (unsigned int) len);
+  es_fprintf (es_stdout, "spk:%d:%u:%u:", type, flags, (unsigned int) len);
 
   for (i = 0; i < len; i++)
     {
       /* printable ascii other than : and % */
       if (buf[i] >= 32 && buf[i] <= 126 && buf[i] != ':' && buf[i] != '%')
-       printf ("%c", buf[i]);
+       es_fprintf (es_stdout, "%c", buf[i]);
       else
-       printf ("%%%02X", buf[i]);
+       es_fprintf (es_stdout, "%%%02X", buf[i]);
     }
 
-  printf ("\n");
+  es_fprintf (es_stdout, "\n");
 }
 
+
 void
 print_subpackets_colon (PKT_signature * sig)
 {
@@ -756,9 +727,9 @@ print_subpackets_colon (PKT_signature * sig)
     }
 }
 
+
 void
-dump_attribs (const PKT_user_id * uid, PKT_public_key * pk,
-             PKT_secret_key * sk)
+dump_attribs (const PKT_user_id *uid, PKT_public_key *pk)
 {
   int i;
 
@@ -773,12 +744,9 @@ dump_attribs (const PKT_user_id * uid, PKT_public_key * pk,
          char buf[(MAX_FINGERPRINT_LEN * 2) + 90];
          size_t j, n;
 
-         if (pk)
-           fingerprint_from_pk (pk, array, &n);
-         else if (sk)
-           fingerprint_from_sk (sk, array, &n);
-         else
-           BUG ();
+          if (!pk)
+            BUG ();
+          fingerprint_from_pk (pk, array, &n);
 
          p = array;
          for (j = 0; j < n; j++, p++)
@@ -794,24 +762,27 @@ dump_attribs (const PKT_user_id * uid, PKT_public_key * pk,
          write_status_text (STATUS_ATTRIBUTE, buf);
        }
 
-      fwrite (uid->attribs[i].data, uid->attribs[i].len, 1, attrib_fp);
-      fflush (attrib_fp);
+      es_fwrite (uid->attribs[i].data, uid->attribs[i].len, 1, attrib_fp);
+      es_fflush (attrib_fp);
     }
 }
 
+
 static void
 list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
 {
-  int rc = 0;
+  int rc;
   KBNODE kbctx;
   KBNODE node;
   PKT_public_key *pk;
-  PKT_secret_key *sk;
   struct sig_stats *stats = opaque;
   int skip_sigs = 0;
+  int s2k_char;
+  char *hexgrip = NULL;
+  char *serialno = NULL;
 
-  /* get the keyid from the keyblock */
-  node = find_kbnode (keyblock, secret ? PKT_SECRET_KEY : PKT_PUBLIC_KEY);
+  /* Get the keyid from the keyblock.  */
+  node = find_kbnode (keyblock, PKT_PUBLIC_KEY);
   if (!node)
     {
       log_error ("Oops; key lost!\n");
@@ -819,81 +790,84 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
       return;
     }
 
-  if (secret)
-    {
-      pk = NULL;
-      sk = node->pkt->pkt.secret_key;
-
-      printf ("sec%c  %4u%c/%s %s", (sk->protect.s2k.mode == 1001) ? '#' :
-             (sk->protect.s2k.mode == 1002) ? '>' : ' ',
-             nbits_from_sk (sk), pubkey_letter (sk->pubkey_algo),
-             keystr_from_sk (sk), datestr_from_sk (sk));
+  pk = node->pkt->pkt.public_key;
 
-      if (sk->has_expired)
-       {
-         printf (" [");
-         printf (_("expired: %s"), expirestr_from_sk (sk));
-         printf ("]");
-       }
-      else if (sk->expiredate)
-       {
-         printf (" [");
-         printf (_("expires: %s"), expirestr_from_sk (sk));
-         printf ("]");
-       }
+  if (secret || opt.with_keygrip)
+    {
+      rc = hexkeygrip_from_pk (pk, &hexgrip);
+      if (rc)
+        log_error ("error computing a keygrip: %s\n", gpg_strerror (rc));
+    }
 
-      printf ("\n");
+  if (secret)
+    {
+      if (!agent_get_keyinfo (NULL, hexgrip, &serialno))
+        s2k_char = serialno? '>':' ';
+      else
+        s2k_char = '#';  /* Key not found.  */
     }
   else
-    {
-      pk = node->pkt->pkt.public_key;
-      sk = NULL;
+    s2k_char = ' ';
 
-      check_trustdb_stale ();
+  check_trustdb_stale ();
 
-      printf ("pub   %4u%c/%s %s",
-             nbits_from_pk (pk), pubkey_letter (pk->pubkey_algo),
-             keystr_from_pk (pk), datestr_from_pk (pk));
+  es_fprintf (es_stdout, "%s%c  %4u%c/%s %s",
+          secret? "sec":"pub",
+          s2k_char,
+          nbits_from_pk (pk), pubkey_letter (pk->pubkey_algo),
+          keystr_from_pk (pk), datestr_from_pk (pk));
 
-      /* We didn't include this before in the key listing, but there
-         is room in the new format, so why not? */
+  if (pk->pubkey_algo == PUBKEY_ALGO_ECDSA
+      || pk->pubkey_algo == PUBKEY_ALGO_ECDH)
+    {
+      char *curve = openpgp_oid_to_str (pk->pkey[0]);
+      const char *name = openpgp_oid_to_curve (curve);
+      if (!*name || *name == '?')
+        name = curve;
+      es_fprintf (es_stdout, " %s", name);
+      xfree (curve);
+    }
 
-      if (pk->is_revoked)
-       {
-         printf (" [");
-         printf (_("revoked: %s"), revokestr_from_pk (pk));
-         printf ("]");
-       }
-      else if (pk->has_expired)
-       {
-         printf (" [");
-         printf (_("expired: %s"), expirestr_from_pk (pk));
-         printf ("]");
-       }
-      else if (pk->expiredate)
-       {
-         printf (" [");
-         printf (_("expires: %s"), expirestr_from_pk (pk));
-         printf ("]");
-       }
+  if (pk->flags.revoked)
+    {
+      es_fprintf (es_stdout, " [");
+      es_fprintf (es_stdout, _("revoked: %s"), revokestr_from_pk (pk));
+      es_fprintf (es_stdout, "]");
+    }
+  else if (pk->has_expired)
+    {
+      es_fprintf (es_stdout, " [");
+      es_fprintf (es_stdout, _("expired: %s"), expirestr_from_pk (pk));
+      es_fprintf (es_stdout, "]");
+    }
+  else if (pk->expiredate)
+    {
+      es_fprintf (es_stdout, " [");
+      es_fprintf (es_stdout, _("expires: %s"), expirestr_from_pk (pk));
+      es_fprintf (es_stdout, "]");
+    }
 
 #if 0
-      /* I need to think about this some more.  It's easy enough to
-         include, but it looks sort of confusing in the
-         listing... */
-      if (opt.list_options & LIST_SHOW_VALIDITY)
-       {
-         int validity = get_validity (pk, NULL);
-         printf (" [%s]", trust_value_to_string (validity));
-       }
+  /* I need to think about this some more.  It's easy enough to
+     include, but it looks sort of confusing in the listing... */
+  if (opt.list_options & LIST_SHOW_VALIDITY)
+    {
+      int validity = get_validity (pk, NULL);
+      es_fprintf (es_stdout, " [%s]", trust_value_to_string (validity));
+    }
 #endif
 
-      printf ("\n");
-    }
+  es_fprintf (es_stdout, "\n");
 
   if (fpr)
-    print_fingerprint (pk, sk, 0);
-  print_card_serialno (sk);
+    print_fingerprint (pk, 0);
+
+  if (opt.with_keygrip && hexgrip)
+    es_fprintf (es_stdout, "      Keygrip = %s\n", hexgrip);
+
+  if (serialno)
+    print_card_serialno (serialno);
+
   if (opt.with_key_data)
     print_key_data (pk);
 
@@ -913,7 +887,7 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
            skip_sigs = 0;
 
          if (attrib_fp && uid->attrib_data != NULL)
-           dump_attribs (uid, pk, sk);
+           dump_attribs (uid, pk);
 
          if ((uid->is_revoked || uid->is_expired)
              || ((opt.list_options & LIST_SHOW_UID_VALIDITY) && pk))
@@ -929,22 +903,22 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
              if (indent < 0 || indent > 40)
                indent = 0;
 
-             printf ("uid%*s%s ", indent, "", validity);
+             es_fprintf (es_stdout, "uid%*s%s ", indent, "", validity);
            }
          else
-           printf ("uid%*s", (int) keystrlen () + 10, "");
+           es_fprintf (es_stdout, "uid%*s", (int) keystrlen () + 10, "");
 
-         print_utf8_string (stdout, uid->name, uid->len);
-         putchar ('\n');
+         print_utf8_buffer (es_stdout, uid->name, uid->len);
+         es_putc ('\n', es_stdout);
 
          if ((opt.list_options & LIST_SHOW_PHOTOS) && uid->attribs != NULL)
-           show_photos (uid->attribs, uid->numattribs, pk, sk, uid);
+           show_photos (uid->attribs, uid->numattribs, pk, uid);
        }
       else if (node->pkt->pkttype == PKT_PUBLIC_SUBKEY)
        {
          PKT_public_key *pk2 = node->pkt->pkt.public_key;
 
-         if ((pk2->is_revoked || pk2->has_expired)
+         if ((pk2->flags.revoked || pk2->has_expired)
              && !(opt.list_options & LIST_SHOW_UNUSABLE_SUBKEYS))
            {
              skip_sigs = 1;
@@ -953,55 +927,72 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
          else
            skip_sigs = 0;
 
-         printf ("sub   %4u%c/%s %s",
+          xfree (serialno); serialno = NULL;
+          xfree (hexgrip); hexgrip = NULL;
+          if (secret || opt.with_keygrip)
+            {
+              rc = hexkeygrip_from_pk (pk2, &hexgrip);
+              if (rc)
+                log_error ("error computing a keygrip: %s\n",
+                           gpg_strerror (rc));
+            }
+          if (secret)
+            {
+              if (!agent_get_keyinfo (NULL, hexgrip, &serialno))
+                s2k_char = serialno? '>':' ';
+              else
+                s2k_char = '#';  /* Key not found.  */
+            }
+          else
+            s2k_char = ' ';
+
+         es_fprintf (es_stdout, "%s%c  %4u%c/%s %s",
+                  secret? "ssb":"sub",
+                  s2k_char,
                  nbits_from_pk (pk2), pubkey_letter (pk2->pubkey_algo),
                  keystr_from_pk (pk2), datestr_from_pk (pk2));
-         if (pk2->is_revoked)
+
+          if (pk2->pubkey_algo == PUBKEY_ALGO_ECDSA
+              || pk2->pubkey_algo == PUBKEY_ALGO_ECDH)
+            {
+              char *curve = openpgp_oid_to_str (pk2->pkey[0]);
+              const char *name = openpgp_oid_to_curve (curve);
+              if (!*name || *name == '?')
+                name = curve;
+              es_fprintf (es_stdout, " %s", name);
+              xfree (curve);
+            }
+
+         if (pk2->flags.revoked)
            {
-             printf (" [");
-             printf (_("revoked: %s"), revokestr_from_pk (pk2));
-             printf ("]");
+             es_fprintf (es_stdout, " [");
+             es_fprintf (es_stdout, _("revoked: %s"), revokestr_from_pk (pk2));
+             es_fprintf (es_stdout, "]");
            }
          else if (pk2->has_expired)
            {
-             printf (" [");
-             printf (_("expired: %s"), expirestr_from_pk (pk2));
-             printf ("]");
+             es_fprintf (es_stdout, " [");
+             es_fprintf (es_stdout, _("expired: %s"), expirestr_from_pk (pk2));
+             es_fprintf (es_stdout, "]");
            }
          else if (pk2->expiredate)
            {
-             printf (" [");
-             printf (_("expires: %s"), expirestr_from_pk (pk2));
-             printf ("]");
+             es_fprintf (es_stdout, " [");
+             es_fprintf (es_stdout, _("expires: %s"), expirestr_from_pk (pk2));
+             es_fprintf (es_stdout, "]");
            }
-         putchar ('\n');
+         es_putc ('\n', es_stdout);
          if (fpr > 1)
-           print_fingerprint (pk2, NULL, 0);
+            {
+              print_fingerprint (pk2, 0);
+              if (serialno)
+                print_card_serialno (serialno);
+            }
+          if (opt.with_keygrip && hexgrip)
+            es_fprintf (es_stdout, "      Keygrip = %s\n", hexgrip);
          if (opt.with_key_data)
            print_key_data (pk2);
        }
-      else if (node->pkt->pkttype == PKT_SECRET_SUBKEY)
-       {
-         PKT_secret_key *sk2 = node->pkt->pkt.secret_key;
-
-         printf ("ssb%c  %4u%c/%s %s",
-                 (sk2->protect.s2k.mode == 1001) ? '#' :
-                 (sk2->protect.s2k.mode == 1002) ? '>' : ' ',
-                 nbits_from_sk (sk2), pubkey_letter (sk2->pubkey_algo),
-                 keystr_from_sk (sk2), datestr_from_sk (sk2));
-         if (sk2->expiredate)
-           {
-             printf (" [");
-             printf (_("expires: %s"), expirestr_from_sk (sk2));
-             printf ("]");
-           }
-         putchar ('\n');
-         if (fpr > 1)
-           {
-             print_fingerprint (NULL, sk2, 0);
-             print_card_serialno (sk2);
-           }
-       }
       else if (opt.list_sigs
               && node->pkt->pkttype == PKT_SIGNATURE && !skip_sigs)
        {
@@ -1052,14 +1043,14 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
            sigstr = "sig";
          else
            {
-             printf ("sig                             "
+             es_fprintf (es_stdout, "sig                             "
                      "[unexpected signature class 0x%02x]\n",
                      sig->sig_class);
              continue;
            }
 
-         fputs (sigstr, stdout);
-         printf ("%c%c %c%c%c%c%c%c %s %s",
+         es_fputs (sigstr, es_stdout);
+         es_fprintf (es_stdout, "%c%c %c%c%c%c%c%c %s %s",
                  sigrc, (sig->sig_class - 0x10 > 0 &&
                          sig->sig_class - 0x10 <
                          4) ? '0' + sig->sig_class - 0x10 : ' ',
@@ -1073,20 +1064,20 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
                  sig->trust_depth : ' ', keystr (sig->keyid),
                  datestr_from_sig (sig));
          if (opt.list_options & LIST_SHOW_SIG_EXPIRE)
-           printf (" %s", expirestr_from_sig (sig));
-         printf ("  ");
+           es_fprintf (es_stdout, " %s", expirestr_from_sig (sig));
+         es_fprintf (es_stdout, "  ");
          if (sigrc == '%')
-           printf ("[%s] ", g10_errstr (rc));
+           es_fprintf (es_stdout, "[%s] ", g10_errstr (rc));
          else if (sigrc == '?')
            ;
          else if (!opt.fast_list_mode)
            {
              size_t n;
              char *p = get_user_id (sig->keyid, &n);
-             print_utf8_string (stdout, p, n);
+             print_utf8_buffer (es_stdout, p, n);
              xfree (p);
            }
-         putchar ('\n');
+         es_putc ('\n', es_stdout);
 
          if (sig->flags.policy_url
              && (opt.list_options & LIST_SHOW_POLICY_URLS))
@@ -1108,7 +1099,9 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
          /* fixme: check or list other sigs here */
        }
     }
-  putchar ('\n');
+  es_putc ('\n', es_stdout);
+  xfree (serialno);
+  xfree (hexgrip);
 }
 
 void
@@ -1125,11 +1118,11 @@ print_revokers (PKT_public_key * pk)
        {
          byte *p;
 
-         printf ("rvk:::%d::::::", pk->revkey[i].algid);
+         es_fprintf (es_stdout, "rvk:::%d::::::", pk->revkey[i].algid);
          p = pk->revkey[i].fpr;
          for (j = 0; j < 20; j++, p++)
-           printf ("%02X", *p);
-         printf (":%02x%s:\n", pk->revkey[i].class,
+           es_fprintf (es_stdout, "%02X", *p);
+         es_fprintf (es_stdout, ":%02x%s:\n", pk->revkey[i].class,
                  (pk->revkey[i].class & 0x40) ? "s" : "");
        }
     }
@@ -1138,18 +1131,21 @@ print_revokers (PKT_public_key * pk)
 static void
 list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
 {
-  int rc = 0;
+  int rc;
   KBNODE kbctx;
   KBNODE node;
   PKT_public_key *pk;
-  PKT_secret_key *sk;
   u32 keyid[2];
   int trustletter = 0;
   int ulti_hack = 0;
   int i;
+  char *p;
+  char *hexgrip = NULL;
+  char *serialno = NULL;
+  int stubkey;
 
-  /* get the keyid from the keyblock */
-  node = find_kbnode (keyblock, secret ? PKT_SECRET_KEY : PKT_PUBLIC_KEY);
+  /* Get the keyid from the keyblock.  */
+  node = find_kbnode (keyblock, PKT_PUBLIC_KEY);
   if (!node)
     {
       log_error ("Oops; key lost!\n");
@@ -1157,76 +1153,82 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
       return;
     }
 
-  if (secret)
+  pk = node->pkt->pkt.public_key;
+  if (secret || opt.with_keygrip || opt.with_key_data)
     {
-      pk = NULL;
-      sk = node->pkt->pkt.secret_key;
-      keyid_from_sk (sk, keyid);
-      printf ("sec::%u:%d:%08lX%08lX:%s:%s:::",
-             nbits_from_sk (sk),
-             sk->pubkey_algo,
-             (ulong) keyid[0], (ulong) keyid[1],
-             colon_datestr_from_sk (sk), colon_strtime (sk->expiredate)
-             /* fixme: add LID here */ );
+      rc = hexkeygrip_from_pk (pk, &hexgrip);
+      if (rc)
+        log_error ("error computing a keygrip: %s\n", gpg_strerror (rc));
     }
+  stubkey = 0;
+  if (secret && agent_get_keyinfo (NULL, hexgrip, &serialno))
+    stubkey = 1;  /* Key not found.  */
+
+  keyid_from_pk (pk, keyid);
+  es_fputs (secret? "sec:":"pub:", es_stdout);
+  if (!pk->flags.valid)
+    es_putc ('i', es_stdout);
+  else if (pk->flags.revoked)
+    es_putc ('r', es_stdout);
+  else if (pk->has_expired)
+    es_putc ('e', es_stdout);
+  else if (opt.fast_list_mode || opt.no_expensive_trust_checks)
+    ;
   else
     {
-      pk = node->pkt->pkt.public_key;
-      sk = NULL;
-      keyid_from_pk (pk, keyid);
-      fputs ("pub:", stdout);
-      if (!pk->is_valid)
-       putchar ('i');
-      else if (pk->is_revoked)
-       putchar ('r');
-      else if (pk->has_expired)
-       putchar ('e');
-      else if (opt.fast_list_mode || opt.no_expensive_trust_checks)
-       ;
-      else
-       {
-         trustletter = get_validity_info (pk, NULL);
-         if (trustletter == 'u')
-           ulti_hack = 1;
-         putchar (trustletter);
-       }
-      printf (":%u:%d:%08lX%08lX:%s:%s::",
-             nbits_from_pk (pk),
-             pk->pubkey_algo,
-             (ulong) keyid[0], (ulong) keyid[1],
-             colon_datestr_from_pk (pk), colon_strtime (pk->expiredate));
-      if (!opt.fast_list_mode && !opt.no_expensive_trust_checks)
-       putchar (get_ownertrust_info (pk));
-      putchar (':');
+      trustletter = get_validity_info (pk, NULL);
+      if (trustletter == 'u')
+        ulti_hack = 1;
+      es_putc (trustletter, es_stdout);
     }
 
-  putchar (':');
-  putchar (':');
-  print_capabilities (pk, sk, keyblock);
+  es_fprintf (es_stdout, ":%u:%d:%08lX%08lX:%s:%s::",
+          nbits_from_pk (pk),
+          pk->pubkey_algo,
+          (ulong) keyid[0], (ulong) keyid[1],
+          colon_datestr_from_pk (pk), colon_strtime (pk->expiredate));
+
+  if (!opt.fast_list_mode && !opt.no_expensive_trust_checks)
+    es_putc (get_ownertrust_info (pk), es_stdout);
+  es_putc (':', es_stdout);
+
+  es_putc (':', es_stdout);
+  es_putc (':', es_stdout);
+  print_capabilities (pk, keyblock);
+  es_putc (':', es_stdout);            /* End of field 13. */
+  es_putc (':', es_stdout);            /* End of field 14. */
   if (secret)
     {
-      putchar (':');           /* End of field 13. */
-      putchar (':');           /* End of field 14. */
-      if (sk->protect.s2k.mode == 1001)
-       putchar ('#');          /* Key is just a stub. */
-      else if (sk->protect.s2k.mode == 1002)
-       {
-         /* Key is stored on an external token (card) or handled by
-            the gpg-agent.  Print the serial number of that token
-            here. */
-         for (i = 0; i < sk->protect.ivlen; i++)
-           printf ("%02X", sk->protect.iv[i]);
-       }
-      putchar (':');           /* End of field 15. */
+      if (stubkey)
+       es_putc ('#', es_stdout);
+      else if (serialno)
+        es_fputs (serialno, es_stdout);
     }
-  putchar ('\n');
-  if (pk)
-    print_revokers (pk);
-  if (fpr)
-    print_fingerprint (pk, sk, 0);
-  if (opt.with_key_data)
-    print_key_data (pk);
+  es_putc (':', es_stdout);            /* End of field 15. */
+  es_putc (':', es_stdout);            /* End of field 16. */
+  if (pk->pubkey_algo == PUBKEY_ALGO_ECDSA
+      || pk->pubkey_algo == PUBKEY_ALGO_ECDH)
+    {
+      char *curve = openpgp_oid_to_str (pk->pkey[0]);
+      const char *name = openpgp_oid_to_curve (curve);
+      if (!*name || *name == '?')
+        name = curve;
+      es_fputs (name, es_stdout);
+      xfree (curve);
+    }
+  es_putc (':', es_stdout);            /* End of field 17. */
+  es_putc ('\n', es_stdout);
 
+  print_revokers (pk);
+  if (fpr)
+    print_fingerprint (pk, 0);
+  if (opt.with_key_data || opt.with_keygrip)
+    {
+      if (hexgrip)
+        es_fprintf (es_stdout, "grp:::::::::%s:\n", hexgrip);
+      if (opt.with_key_data)
+        print_key_data (pk);
+    }
 
   for (kbctx = NULL; (node = walk_kbnode (keyblock, &kbctx, 0));)
     {
@@ -1236,21 +1238,17 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
          PKT_user_id *uid = node->pkt->pkt.user_id;
 
          if (attrib_fp && node->pkt->pkt.user_id->attrib_data != NULL)
-           dump_attribs (node->pkt->pkt.user_id, pk, sk);
+           dump_attribs (node->pkt->pkt.user_id, pk);
          /*
-          * Fixme: We need a is_valid flag here too 
+          * Fixme: We need a valid flag here too
           */
          str = uid->attrib_data ? "uat" : "uid";
-         /* If we're listing a secret key, leave out the validity
-            values for now.  This is handled better in 1.9. */
-         if (sk)
-           printf ("%s:::::", str);
-         else if (uid->is_revoked)
-           printf ("%s:r::::", str);
+         if (uid->is_revoked)
+           es_fprintf (es_stdout, "%s:r::::", str);
          else if (uid->is_expired)
-           printf ("%s:e::::", str);
+           es_fprintf (es_stdout, "%s:e::::", str);
          else if (opt.no_expensive_trust_checks)
-           printf ("%s:::::", str);
+           es_fprintf (es_stdout, "%s:::::", str);
          else
            {
              int uid_validity;
@@ -1259,91 +1257,101 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
                uid_validity = get_validity_info (pk, uid);
              else
                uid_validity = 'u';
-             printf ("%s:%c::::", str, uid_validity);
+             es_fprintf (es_stdout, "%s:%c::::", str, uid_validity);
            }
 
-         printf ("%s:", colon_strtime (uid->created));
-         printf ("%s:", colon_strtime (uid->expiredate));
+         es_fprintf (es_stdout, "%s:", colon_strtime (uid->created));
+         es_fprintf (es_stdout, "%s:", colon_strtime (uid->expiredate));
 
          namehash_from_uid (uid);
 
          for (i = 0; i < 20; i++)
-           printf ("%02X", uid->namehash[i]);
+           es_fprintf (es_stdout, "%02X", uid->namehash[i]);
 
-         printf ("::");
+         es_fprintf (es_stdout, "::");
 
          if (uid->attrib_data)
-           printf ("%u %lu", uid->numattribs, uid->attrib_len);
+           es_fprintf (es_stdout, "%u %lu", uid->numattribs, uid->attrib_len);
          else
-           print_string (stdout, uid->name, uid->len, ':');
-         putchar (':');
-         putchar ('\n');
+           es_write_sanitized (es_stdout, uid->name, uid->len, ":", NULL);
+         es_putc (':', es_stdout);
+         es_putc ('\n', es_stdout);
        }
       else if (node->pkt->pkttype == PKT_PUBLIC_SUBKEY)
        {
          u32 keyid2[2];
-         PKT_public_key *pk2 = node->pkt->pkt.public_key;
+         PKT_public_key *pk2;
+
+          pk2 = node->pkt->pkt.public_key;
+          xfree (hexgrip); hexgrip = NULL;
+          xfree (serialno); serialno = NULL;
+          if (secret || opt.with_keygrip || opt.with_key_data)
+            {
+              rc = hexkeygrip_from_pk (pk2, &hexgrip);
+              if (rc)
+                log_error ("error computing a keygrip: %s\n",
+                           gpg_strerror (rc));
+            }
+          stubkey = 0;
+          if (secret && agent_get_keyinfo (NULL, hexgrip, &serialno))
+            stubkey = 1;  /* Key not found.  */
 
          keyid_from_pk (pk2, keyid2);
-         fputs ("sub:", stdout);
-         if (!pk2->is_valid)
-           putchar ('i');
-         else if (pk2->is_revoked)
-           putchar ('r');
+         es_fputs (secret? "ssb:":"sub:", es_stdout);
+         if (!pk2->flags.valid)
+           es_putc ('i', es_stdout);
+         else if (pk2->flags.revoked)
+           es_putc ('r', es_stdout);
          else if (pk2->has_expired)
-           putchar ('e');
+           es_putc ('e', es_stdout);
          else if (opt.fast_list_mode || opt.no_expensive_trust_checks)
            ;
          else
            {
              /* TRUSTLETTER should always be defined here. */
              if (trustletter)
-               printf ("%c", trustletter);
+               es_fprintf (es_stdout, "%c", trustletter);
            }
-         printf (":%u:%d:%08lX%08lX:%s:%s:::::",
+         es_fprintf (es_stdout, ":%u:%d:%08lX%08lX:%s:%s:::::",
                  nbits_from_pk (pk2),
                  pk2->pubkey_algo,
                  (ulong) keyid2[0], (ulong) keyid2[1],
                  colon_datestr_from_pk (pk2), colon_strtime (pk2->expiredate)
                  /* fixme: add LID and ownertrust here */
            );
-         print_capabilities (pk2, NULL, NULL);
-         putchar ('\n');
-         if (fpr > 1)
-           print_fingerprint (pk2, NULL, 0);
-         if (opt.with_key_data)
-           print_key_data (pk2);
-       }
-      else if (node->pkt->pkttype == PKT_SECRET_SUBKEY)
-       {
-         u32 keyid2[2];
-         PKT_secret_key *sk2 = node->pkt->pkt.secret_key;
-
-         keyid_from_sk (sk2, keyid2);
-         printf ("ssb::%u:%d:%08lX%08lX:%s:%s:::::",
-                 nbits_from_sk (sk2),
-                 sk2->pubkey_algo,
-                 (ulong) keyid2[0], (ulong) keyid2[1],
-                 colon_datestr_from_sk (sk2), colon_strtime (sk2->expiredate)
-                 /* fixme: add LID */ );
-         print_capabilities (NULL, sk2, NULL);
-         putchar (':');        /* End of field 13. */
-         putchar (':');        /* End of field 14. */
-         if (sk2->protect.s2k.mode == 1001)
-           putchar ('#');      /* Key is just a stub. */
-         else if (sk2->protect.s2k.mode == 1002)
-           {
-             /* Key is stored on an external token (card) or handled by
-                the gpg-agent.  Print the serial number of that token
-                here. */
-             for (i = 0; i < sk2->protect.ivlen; i++)
-               printf ("%02X", sk2->protect.iv[i]);
-           }
-         putchar (':');        /* End of field 15. */
-         putchar ('\n');
-
+         print_capabilities (pk2, NULL);
+          es_putc (':', es_stdout);    /* End of field 13. */
+          es_putc (':', es_stdout);    /* End of field 14. */
+          if (secret)
+            {
+              if (stubkey)
+                es_putc ('#', es_stdout);
+              else if (serialno)
+                es_fputs (serialno, es_stdout);
+            }
+          es_putc (':', es_stdout);    /* End of field 15. */
+          es_putc (':', es_stdout);    /* End of field 16. */
+          if (pk->pubkey_algo == PUBKEY_ALGO_ECDSA
+              || pk->pubkey_algo == PUBKEY_ALGO_ECDH)
+            {
+              char *curve = openpgp_oid_to_str (pk->pkey[0]);
+              const char *name = openpgp_oid_to_curve (curve);
+              if (!*name || *name == '?')
+                name = curve;
+              es_fputs (name, es_stdout);
+              xfree (curve);
+            }
+          es_putc (':', es_stdout);    /* End of field 17. */
+         es_putc ('\n', es_stdout);
          if (fpr > 1)
-           print_fingerprint (NULL, sk2, 0);
+           print_fingerprint (pk2, 0);
+         if (opt.with_key_data || opt.with_keygrip)
+            {
+              if (hexgrip)
+                es_fprintf (es_stdout, "grp:::::::::%s:\n", hexgrip);
+              if (opt.with_key_data)
+                print_key_data (pk2);
+            }
        }
       else if (opt.list_sigs && node->pkt->pkttype == PKT_SIGNATURE)
        {
@@ -1364,7 +1372,7 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
            sigstr = "sig";
          else
            {
-             printf ("sig::::::::::%02x%c:\n",
+             es_fprintf (es_stdout, "sig::::::::::%02x%c:\n",
                      sig->sig_class, sig->flags.exportable ? 'x' : 'l');
              continue;
            }
@@ -1411,49 +1419,45 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
              rc = 0;
              sigrc = ' ';
            }
-         fputs (sigstr, stdout);
-         putchar (':');
+         es_fputs (sigstr, es_stdout);
+         es_putc (':', es_stdout);
          if (sigrc != ' ')
-           putchar (sigrc);
-         printf ("::%d:%08lX%08lX:%s:%s:", sig->pubkey_algo,
+           es_putc (sigrc, es_stdout);
+         es_fprintf (es_stdout, "::%d:%08lX%08lX:%s:%s:", sig->pubkey_algo,
                  (ulong) sig->keyid[0], (ulong) sig->keyid[1],
                  colon_datestr_from_sig (sig),
                  colon_expirestr_from_sig (sig));
 
          if (sig->trust_depth || sig->trust_value)
-           printf ("%d %d", sig->trust_depth, sig->trust_value);
-         printf (":");
+           es_fprintf (es_stdout, "%d %d", sig->trust_depth, sig->trust_value);
+         es_fprintf (es_stdout, ":");
 
          if (sig->trust_regexp)
-           print_string (stdout, sig->trust_regexp,
-                         strlen (sig->trust_regexp), ':');
-         printf (":");
+           es_write_sanitized (es_stdout, sig->trust_regexp,
+                                strlen (sig->trust_regexp), ":", NULL);
+         es_fprintf (es_stdout, ":");
 
          if (sigrc == '%')
-           printf ("[%s] ", g10_errstr (rc));
+           es_fprintf (es_stdout, "[%s] ", g10_errstr (rc));
          else if (sigrc == '?')
            ;
          else if (!opt.fast_list_mode)
            {
              size_t n;
-             char *p = get_user_id (sig->keyid, &n);
-             print_string (stdout, p, n, ':');
+             p = get_user_id (sig->keyid, &n);
+             es_write_sanitized (es_stdout, p, n, ":", NULL);
              xfree (p);
            }
-         printf (":%02x%c:", sig->sig_class,
+         es_fprintf (es_stdout, ":%02x%c::", sig->sig_class,
                  sig->flags.exportable ? 'x' : 'l');
 
          if (opt.no_sig_cache && opt.check_sigs && fprokay)
            {
-             putchar (':');
-
              for (i = 0; i < fplen; i++)
-               printf ("%02X", fparray[i]);
-
-             putchar (':');
+               es_fprintf (es_stdout, "%02X", fparray[i]);
            }
 
-         printf ("\n");
+         es_fprintf (es_stdout, ":::%d:\n", sig->digest_algo);
 
          if (opt.show_subpackets)
            print_subpackets_colon (sig);
@@ -1461,6 +1465,9 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
          /* fixme: check or list other sigs here */
        }
     }
+
+  xfree (hexgrip);
+  xfree (serialno);
 }
 
 /*
@@ -1530,37 +1537,30 @@ list_keyblock (KBNODE keyblock, int secret, int fpr, void *opaque)
 }
 
 /*
- * standard function to print the finperprint.
+ * Function to print the finperprint.
  * mode 0: as used in key listings, opt.with_colons is honored
  *      1: print using log_info ()
  *      2: direct use of tty
  *      3: direct use of tty but only primary key.
- * modes 1 and 2 will try and print both subkey and primary key fingerprints
+ *
+ * Modes 1 and 2 will try and print both subkey and primary key
+ * fingerprints.  A MODE with bit 7 set is used internally.
  */
 void
-print_fingerprint (PKT_public_key * pk, PKT_secret_key * sk, int mode)
+print_fingerprint (PKT_public_key *pk, int mode)
 {
   byte array[MAX_FINGERPRINT_LEN], *p;
   size_t i, n;
-  FILE *fp;
+  estream_t fp;
   const char *text;
   int primary = 0;
 
-  if (sk)
-    {
-      if (sk->main_keyid[0] == sk->keyid[0]
-         && sk->main_keyid[1] == sk->keyid[1])
-       primary = 1;
-    }
-  else
-    {
-      if (pk->main_keyid[0] == pk->keyid[0]
-         && pk->main_keyid[1] == pk->keyid[1])
-       primary = 1;
-    }
+  if (pk->main_keyid[0] == pk->keyid[0]
+      && pk->main_keyid[1] == pk->keyid[1])
+    primary = 1;
 
   /* Just to be safe */
-  if (mode & 0x80 && !primary)
+  if ((mode & 0x80) && !primary)
     {
       log_error ("primary key is not really primary!\n");
       return;
@@ -1570,20 +1570,10 @@ print_fingerprint (PKT_public_key * pk, PKT_secret_key * sk, int mode)
 
   if (!primary && (mode == 1 || mode == 2))
     {
-      if (sk)
-       {
-         PKT_secret_key *primary_sk = xmalloc_clear (sizeof (*primary_sk));
-         get_seckey (primary_sk, sk->main_keyid);
-         print_fingerprint (NULL, primary_sk, mode | 0x80);
-         free_secret_key (primary_sk);
-       }
-      else
-       {
-         PKT_public_key *primary_pk = xmalloc_clear (sizeof (*primary_pk));
-         get_pubkey (primary_pk, pk->main_keyid);
-         print_fingerprint (primary_pk, NULL, mode | 0x80);
-         free_public_key (primary_pk);
-       }
+      PKT_public_key *primary_pk = xmalloc_clear (sizeof (*primary_pk));
+      get_pubkey (primary_pk, pk->main_keyid);
+      print_fingerprint (primary_pk, mode | 0x80);
+      free_public_key (primary_pk);
     }
 
   if (mode == 1)
@@ -1611,104 +1601,57 @@ print_fingerprint (PKT_public_key * pk, PKT_secret_key * sk, int mode)
     }
   else
     {
-      fp = stdout;
+      fp = es_stdout;
       text = _("      Key fingerprint =");
     }
 
-  if (sk)
-    fingerprint_from_sk (sk, array, &n);
-  else
-    fingerprint_from_pk (pk, array, &n);
+  fingerprint_from_pk (pk, array, &n);
   p = array;
   if (opt.with_colons && !mode)
     {
-      fprintf (fp, "fpr:::::::::");
+      es_fprintf (fp, "fpr:::::::::");
       for (i = 0; i < n; i++, p++)
-       fprintf (fp, "%02X", *p);
-      putc (':', fp);
+       es_fprintf (fp, "%02X", *p);
+      es_putc (':', fp);
     }
   else
     {
-      if (fp)
-       fputs (text, fp);
-      else
-       tty_printf ("%s", text);
+      tty_fprintf (fp, "%s", text);
       if (n == 20)
        {
          for (i = 0; i < n; i++, i++, p += 2)
-           {
-             if (fp)
-               {
-                 if (i == 10)
-                   putc (' ', fp);
-                 fprintf (fp, " %02X%02X", *p, p[1]);
-               }
-             else
-               {
-                 if (i == 10)
-                   tty_printf (" ");
-                 tty_printf (" %02X%02X", *p, p[1]);
-               }
-           }
+            tty_fprintf (fp, "%s %02X%02X", i==10? " ":"", *p, p[1]);
        }
       else
        {
          for (i = 0; i < n; i++, p++)
-           {
-             if (fp)
-               {
-                 if (i && !(i % 8))
-                   putc (' ', fp);
-                 fprintf (fp, " %02X", *p);
-               }
-             else
-               {
-                 if (i && !(i % 8))
-                   tty_printf (" ");
-                 tty_printf (" %02X", *p);
-               }
-           }
+            tty_fprintf (fp, "%s %02X", (i && !(i % 8))? " ":"", *p);
        }
     }
-  if (fp)
-    putc ('\n', fp);
-  else
-    tty_printf ("\n");
+  tty_fprintf (fp, "\n");
 }
 
 /* Print the serial number of an OpenPGP card if available.  */
 static void
-print_card_serialno (PKT_secret_key * sk)
+print_card_serialno (const char *serialno)
 {
-  int i;
-
-  if (!sk)
+  if (!serialno)
     return;
-  if (!sk->is_protected || sk->protect.s2k.mode != 1002)
-    return; /* Not a card. */
   if (opt.with_colons)
     return; /* Handled elsewhere. */
 
-  fputs (_("      Card serial no. ="), stdout);
-  putchar (' ');
-  if (sk->protect.ivlen == 16
-      && !memcmp (sk->protect.iv, "\xD2\x76\x00\x01\x24\x01", 6))
-    {          
-      /* This is an OpenPGP card. Just print the relevant part.  */
-      for (i = 8; i < 14; i++)
-       {
-         if (i == 10)
-           putchar (' ');
-         printf ("%02X", sk->protect.iv[i]);
-       }
-    }
-  else
+  es_fputs (_("      Card serial no. ="), es_stdout);
+  es_putc (' ', es_stdout);
+  if (strlen (serialno) == 32 && !strncmp (serialno, "D27600012401", 12))
     {
-      /* Something is wrong: Print all.  */
-      for (i = 0; i < sk->protect.ivlen; i++)
-       printf ("%02X", sk->protect.iv[i]);
+      /* This is an OpenPGP card.  Print the relevant part.  */
+      /* Example: D2760001240101010001000003470000 */
+      /*                          xxxxyyyyyyyy     */
+      es_fprintf (es_stdout, "%.*s %.*s", 4, serialno+16, 8, serialno+20);
     }
-  putchar ('\n');
+ else
+   es_fputs (serialno, es_stdout);
+  es_putc ('\n', es_stdout);
 }
 
 
@@ -1721,9 +1664,9 @@ set_attrib_fd (int fd)
   if (fd != -1 && last_fd == fd)
     return;
 
-  if (attrib_fp && attrib_fp != stdout && attrib_fp != stderr
-      && attrib_fp != log_get_stream ())
-    fclose (attrib_fp);
+  /* Fixme: Do we need to check for the log stream here?  */
+  if (attrib_fp && attrib_fp != log_get_stream ())
+    es_fclose (attrib_fp);
   attrib_fp = NULL;
   if (fd == -1)
     return;
@@ -1732,11 +1675,11 @@ set_attrib_fd (int fd)
   setmode (fd, O_BINARY);
 #endif
   if (fd == 1)
-    attrib_fp = stdout;
+    attrib_fp = es_stdout;
   else if (fd == 2)
-    attrib_fp = stderr;
+    attrib_fp = es_stderr;
   else
-    attrib_fp = fdopen (fd, "wb");
+    attrib_fp = es_fdopen (fd, "wb");
   if (!attrib_fp)
     {
       log_fatal ("can't open fd %d for attribute output: %s\n",