gpg: Add option --print-dane-records.
[gnupg.git] / g10 / keylist.c
index 356fac3..3814f1c 100644 (file)
@@ -1,6 +1,7 @@
 /* keylist.c - Print information about OpenPGP keys
  * Copyright (C) 1998, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2006,
  *               2008, 2010, 2012 Free Software Foundation, Inc.
+ * Copyright (C) 2013, 2014  Werner Koch
  *
  * This file is part of GnuPG.
  *
 #include "i18n.h"
 #include "status.h"
 #include "call-agent.h"
+#include "mbox-util.h"
 
-static void list_all (int);
-static void list_one (strlist_t names, int secret);
+
+static void list_all (ctrl_t, int, int);
+static void list_one (ctrl_t ctrl,
+                      strlist_t names, int secret, int mark_secret);
 static void locate_one (ctrl_t ctrl, strlist_t names);
 static void print_card_serialno (const char *serialno);
 
-struct sig_stats
+struct keylist_context
 {
-  int inv_sigs;
-  int no_key;
-  int oth_err;
+  int check_sigs;  /* If set signatures shall be verified.  */
+  int good_sigs;   /* Counter used if CHECK_SIGS is set.  */
+  int inv_sigs;    /* Counter used if CHECK_SIGS is set.  */
+  int no_key;      /* Counter used if CHECK_SIGS is set.  */
+  int oth_err;     /* Counter used if CHECK_SIGS is set.  */
 };
 
+
+static void list_keyblock (ctrl_t ctrl,
+                           kbnode_t keyblock, int secret, int has_secret,
+                           int fpr, struct keylist_context *listctx);
+
+
 /* The stream used to write attribute packets to.  */
 static estream_t attrib_fp;
 
 
+/* Release resources from a keylist context.  */
+static void
+keylist_context_release (struct keylist_context *listctx)
+{
+  (void)listctx; /* Nothing to release.  */
+}
+
+
 /* List the keys.  If list is NULL, all available keys are listed.
    With LOCATE_MODE set the locate algorithm is used to find a
    key.  */
 void
 public_key_list (ctrl_t ctrl, strlist_t list, int locate_mode)
 {
+#ifndef NO_TRUST_MODELS
   if (opt.with_colons)
     {
       byte trust_model, marginals, completes, cert_depth, min_cert_level;
@@ -98,9 +119,9 @@ public_key_list (ctrl_t ctrl, strlist_t list, int locate_mode)
 
       if (trust_model == TM_PGP || trust_model == TM_CLASSIC)
        es_fprintf (es_stdout, ":%d:%d:%d", marginals, completes, cert_depth);
-
       es_fprintf (es_stdout, "\n");
     }
+#endif /*!NO_TRUST_MODELS*/
 
   /* We need to do the stale check right here because it might need to
      update the keyring while we already have the keyring open.  This
@@ -112,9 +133,9 @@ public_key_list (ctrl_t ctrl, strlist_t list, int locate_mode)
   if (locate_mode)
     locate_one (ctrl, list);
   else if (!list)
-    list_all (0);
+    list_all (ctrl, 0, opt.with_secret);
   else
-    list_one (list, 0);
+    list_one (ctrl, list, 0, opt.with_secret);
 }
 
 
@@ -126,9 +147,9 @@ secret_key_list (ctrl_t ctrl, strlist_t list)
   check_trustdb_stale ();
 
   if (!list)
-    list_all (1);
+    list_all (ctrl, 1, 0);
   else                         /* List by user id */
-    list_one (list, 1);
+    list_one (ctrl, list, 1, 0);
 }
 
 void
@@ -136,13 +157,13 @@ print_seckey_info (PKT_public_key *pk)
 {
   u32 keyid[2];
   char *p;
+  char pkstrbuf[PUBKEY_STRING_SIZE];
 
   keyid_from_pk (pk, keyid);
   p = get_user_id_native (keyid);
 
-  tty_printf ("\nsec  %4u%c/%s %s %s\n",
-             nbits_from_pk (pk),
-             pubkey_letter (pk->pubkey_algo),
+  tty_printf ("\nsec  %s/%s %s %s\n",
+              pubkey_string (pk, pkstrbuf, sizeof pkstrbuf),
              keystr (keyid), datestr_from_pk (pk), p);
 
   xfree (p);
@@ -152,10 +173,11 @@ print_seckey_info (PKT_public_key *pk)
    the tty output interface is used, otherwise output is directted to
    the given stream.  */
 void
-print_pubkey_info (estream_t fp, PKT_public_key * pk)
+print_pubkey_info (estream_t fp, PKT_public_key *pk)
 {
   u32 keyid[2];
   char *p;
+  char pkstrbuf[PUBKEY_STRING_SIZE];
 
   keyid_from_pk (pk, keyid);
 
@@ -168,9 +190,9 @@ print_pubkey_info (estream_t fp, PKT_public_key * pk)
 
   if (fp)
     tty_printf ("\n");
-  tty_fprintf (fp, "pub  %4u%c/%s %s %s\n",
-               nbits_from_pk (pk),
-               pubkey_letter (pk->pubkey_algo),
+  tty_fprintf (fp, "%s  %s/%s %s %s\n",
+               pk->flags.primary? "pub":"sub",
+               pubkey_string (pk, pkstrbuf, sizeof pkstrbuf),
                keystr (keyid), datestr_from_pk (pk), p);
   xfree (p);
 }
@@ -186,6 +208,8 @@ print_card_key_info (estream_t fp, kbnode_t keyblock)
   char *hexgrip;
   char *serialno;
   int s2k_char;
+  char pkstrbuf[PUBKEY_STRING_SIZE];
+  int indent;
 
   for (node = keyblock; node; node = node->next)
     {
@@ -207,17 +231,18 @@ print_card_key_info (estream_t fp, kbnode_t keyblock)
           else
             s2k_char = '#';  /* Key not found.  */
 
-          tty_fprintf (fp, "%s%c  %4u%c/%s  ",
+          tty_fprintf (fp, "%s%c  %s/%s  %n",
                        node->pkt->pkttype == PKT_PUBLIC_KEY ? "sec" : "ssb",
-                       s2k_char, nbits_from_pk (pk),
-                       pubkey_letter (pk->pubkey_algo), keystr_from_pk (pk));
+                       s2k_char,
+                       pubkey_string (pk, pkstrbuf, sizeof pkstrbuf),
+                       keystr_from_pk (pk),
+                       &indent);
           tty_fprintf (fp, _("created: %s"), datestr_from_pk (pk));
           tty_fprintf (fp, "  ");
           tty_fprintf (fp, _("expires: %s"), expirestr_from_pk (pk));
           if (serialno)
             {
-              tty_fprintf (fp, "\n                      ");
-              tty_fprintf (fp, _("card-no: "));
+              tty_fprintf (fp, "\n%*s%s", indent, "", _("card-no: "));
               if (strlen (serialno) == 32
                   && !strncmp (serialno, "D27600012401", 12))
                 {
@@ -389,7 +414,12 @@ show_notation (PKT_signature * sig, int indent, int mode, int which)
              print_utf8_buffer (fp, nd->name, strlen (nd->name));
              es_fprintf (fp, "=");
              print_utf8_buffer (fp, nd->value, strlen (nd->value));
-             es_fprintf (fp, "\n");
+              /* (We need to use log_printf so that the next call to a
+                  log function does not insert an extra LF.)  */
+              if (mode)
+                log_printf ("\n");
+              else
+                es_putc ('\n', fp);
            }
        }
 
@@ -405,34 +435,51 @@ show_notation (PKT_signature * sig, int indent, int mode, int which)
   free_notation (notations);
 }
 
+
 static void
-print_signature_stats (struct sig_stats *s)
+print_signature_stats (struct keylist_context *s)
 {
+  if (!s->check_sigs)
+    return;  /* Signature checking was not requested.  */
+
+  if (s->good_sigs == 1)
+    log_info (_("1 good signature\n"));
+  else if (s->good_sigs)
+    log_info (_("%d good signatures\n"), s->good_sigs);
+
   if (s->inv_sigs == 1)
-    tty_printf (_("1 bad signature\n"));
+    log_info (_("1 bad signature\n"));
   else if (s->inv_sigs)
-    tty_printf (_("%d bad signatures\n"), s->inv_sigs);
+    log_info (_("%d bad signatures\n"), s->inv_sigs);
+
   if (s->no_key == 1)
-    tty_printf (_("1 signature not checked due to a missing key\n"));
+    log_info (_("1 signature not checked due to a missing key\n"));
   else if (s->no_key)
-    tty_printf (_("%d signatures not checked due to missing keys\n"),
-               s->no_key);
+    log_info (_("%d signatures not checked due to missing keys\n"), s->no_key);
+
   if (s->oth_err == 1)
-    tty_printf (_("1 signature not checked due to an error\n"));
+    log_info (_("1 signature not checked due to an error\n"));
   else if (s->oth_err)
-    tty_printf (_("%d signatures not checked due to errors\n"), s->oth_err);
+    log_info (_("%d signatures not checked due to errors\n"), s->oth_err);
 }
 
+
+/* List all keys.  If SECRET is true only secret keys are listed.  If
+   MARK_SECRET is true secret keys are indicated in a public key
+   listing.  */
 static void
-list_all (int secret)
+list_all (ctrl_t ctrl, int secret, int mark_secret)
 {
   KEYDB_HANDLE hd;
   KBNODE keyblock = NULL;
   int rc = 0;
+  int any_secret;
   const char *lastresname, *resname;
-  struct sig_stats stats;
+  struct keylist_context listctx;
 
-  memset (&stats, 0, sizeof (stats));
+  memset (&listctx, 0, sizeof (listctx));
+  if (opt.check_sigs)
+    listctx.check_sigs = 1;
 
   hd = keydb_new ();
   if (!hd)
@@ -442,7 +489,7 @@ list_all (int secret)
   if (rc)
     {
       if (gpg_err_code (rc) != GPG_ERR_NOT_FOUND)
-       log_error ("keydb_search_first failed: %s\n", g10_errstr (rc));
+       log_error ("keydb_search_first failed: %s\n", gpg_strerror (rc));
       goto leave;
     }
 
@@ -452,10 +499,18 @@ list_all (int secret)
       rc = keydb_get_keyblock (hd, &keyblock);
       if (rc)
        {
-         log_error ("keydb_get_keyblock failed: %s\n", g10_errstr (rc));
+          if (gpg_err_code (rc) == GPG_ERR_LEGACY_KEY)
+            continue;  /* Skip legacy keys.  */
+         log_error ("keydb_get_keyblock failed: %s\n", gpg_strerror (rc));
          goto leave;
        }
-      if (secret && agent_probe_any_secret_key (NULL, keyblock))
+
+      if (secret || mark_secret)
+        any_secret = !agent_probe_any_secret_key (NULL, keyblock);
+      else
+        any_secret = 0;
+
+      if (secret && !any_secret)
         ; /* Secret key listing requested but this isn't one.  */
       else
         {
@@ -474,27 +529,32 @@ list_all (int secret)
                 }
             }
           merge_keys_and_selfsig (keyblock);
-          list_keyblock (keyblock, secret, opt.fingerprint,
-                         opt.check_sigs ? &stats : NULL);
+          list_keyblock (ctrl, keyblock, secret, any_secret, opt.fingerprint,
+                         &listctx);
         }
       release_kbnode (keyblock);
       keyblock = NULL;
     }
   while (!(rc = keydb_search_next (hd)));
+  es_fflush (es_stdout);
   if (rc && gpg_err_code (rc) != GPG_ERR_NOT_FOUND)
-    log_error ("keydb_search_next failed: %s\n", g10_errstr (rc));
+    log_error ("keydb_search_next failed: %s\n", gpg_strerror (rc));
+  if (keydb_get_skipped_counter (hd))
+    log_info (_("Warning: %lu key(s) skipped due to their large size\n"),
+              keydb_get_skipped_counter (hd));
 
   if (opt.check_sigs && !opt.with_colons)
-    print_signature_stats (&stats);
+    print_signature_stats (&listctx);
 
-leave:
+ leave:
+  keylist_context_release (&listctx);
   release_kbnode (keyblock);
   keydb_release (hd);
 }
 
 
 static void
-list_one (strlist_t names, int secret)
+list_one (ctrl_t ctrl, strlist_t names, int secret, int mark_secret)
 {
   int rc = 0;
   KBNODE keyblock = NULL;
@@ -502,9 +562,11 @@ list_one (strlist_t names, int secret)
   const char *resname;
   const char *keyring_str = _("Keyring");
   int i;
-  struct sig_stats stats;
+  struct keylist_context listctx;
 
-  memset (&stats, 0, sizeof (stats));
+  memset (&listctx, 0, sizeof (listctx));
+  if (!secret && opt.check_sigs)
+    listctx.check_sigs = 1;
 
   /* fixme: using the bynames function has the disadvantage that we
    * don't know wether one of the names given was not found.  OTOH,
@@ -518,8 +580,8 @@ list_one (strlist_t names, int secret)
   rc = getkey_bynames (&ctx, NULL, names, secret, &keyblock);
   if (rc)
     {
-      log_error ("error reading key: %s\n", g10_errstr (rc));
-      get_pubkey_end (ctx);
+      log_error ("error reading key: %s\n", gpg_strerror (rc));
+      getkey_end (ctx);
       return;
     }
 
@@ -533,15 +595,17 @@ list_one (strlist_t names, int secret)
             es_putc ('-', es_stdout);
           es_putc ('\n', es_stdout);
         }
-      list_keyblock (keyblock, secret, opt.fingerprint,
-                     (!secret && opt.check_sigs)? &stats : NULL);
+      list_keyblock (ctrl,
+                     keyblock, secret, mark_secret, opt.fingerprint, &listctx);
       release_kbnode (keyblock);
     }
   while (!getkey_next (ctx, NULL, &keyblock));
   getkey_end (ctx);
 
   if (opt.check_sigs && !opt.with_colons)
-    print_signature_stats (&stats);
+    print_signature_stats (&listctx);
+
+  keylist_context_release (&listctx);
 }
 
 
@@ -552,9 +616,11 @@ locate_one (ctrl_t ctrl, strlist_t names)
   strlist_t sl;
   GETKEY_CTX ctx = NULL;
   KBNODE keyblock = NULL;
-  struct sig_stats stats;
+  struct keylist_context listctx;
 
-  memset (&stats, 0, sizeof (stats));
+  memset (&listctx, 0, sizeof (listctx));
+  if (opt.check_sigs)
+    listctx.check_sigs = 1;
 
   for (sl = names; sl; sl = sl->next)
     {
@@ -562,24 +628,28 @@ locate_one (ctrl_t ctrl, strlist_t names)
       if (rc)
        {
          if (gpg_err_code (rc) != GPG_ERR_NO_PUBKEY)
-           log_error ("error reading key: %s\n", g10_errstr (rc));
+           log_error ("error reading key: %s\n", gpg_strerror (rc));
+          else if (opt.verbose)
+            log_info (_("key \"%s\" not found: %s\n"),
+                      sl->d, gpg_strerror (rc));
        }
       else
        {
          do
            {
-             list_keyblock (keyblock, 0, opt.fingerprint,
-                            opt.check_sigs ? &stats : NULL);
+             list_keyblock (ctrl, keyblock, 0, 0, opt.fingerprint, &listctx);
              release_kbnode (keyblock);
            }
-         while (ctx && !get_pubkey_next (ctx, NULL, &keyblock));
-         get_pubkey_end (ctx);
+         while (ctx && !getkey_next (ctx, NULL, &keyblock));
+         getkey_end (ctx);
          ctx = NULL;
        }
     }
 
   if (opt.check_sigs && !opt.with_colons)
-    print_signature_stats (&stats);
+    print_signature_stats (&listctx);
+
+  keylist_context_release (&listctx);
 }
 
 
@@ -768,18 +838,169 @@ dump_attribs (const PKT_user_id *uid, PKT_public_key *pk)
 }
 
 
+/* Print IPGP cert records instead of a standard key listing.  */
 static void
-list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
+list_keyblock_pka (ctrl_t ctrl, kbnode_t keyblock)
+{
+  kbnode_t kbctx;
+  kbnode_t node;
+  PKT_public_key *pk;
+  char pkstrbuf[PUBKEY_STRING_SIZE];
+  char *hexfpr;
+  char *hexkeyblock = NULL;
+  unsigned int hexkeyblocklen;
+  const char *s;
+
+  /* Get the keyid from the keyblock.  */
+  node = find_kbnode (keyblock, PKT_PUBLIC_KEY);
+  if (!node)
+    {
+      log_error ("Oops; key lost!\n");
+      dump_kbnode (keyblock);
+      return;
+    }
+
+  pk = node->pkt->pkt.public_key;
+
+  /* First print an overview of the key with all userids.  */
+  es_fprintf (es_stdout, ";; pub  %s/%s %s\n;;",
+              pubkey_string (pk, pkstrbuf, sizeof pkstrbuf),
+              keystr_from_pk (pk), datestr_from_pk (pk));
+  print_fingerprint (NULL, pk, 10);
+  for (kbctx = NULL; (node = walk_kbnode (keyblock, &kbctx, 0));)
+    {
+      if (node->pkt->pkttype == PKT_USER_ID)
+       {
+         PKT_user_id *uid = node->pkt->pkt.user_id;
+
+         if (pk && (uid->is_expired || uid->is_revoked)
+             && !(opt.list_options & LIST_SHOW_UNUSABLE_UIDS))
+            continue;
+
+          es_fputs (";; uid  ", es_stdout);
+          print_utf8_buffer (es_stdout, uid->name, uid->len);
+          es_putc ('\n', es_stdout);
+        }
+    }
+
+
+  hexfpr = hexfingerprint (pk);
+  if (opt.print_dane_records)
+    {
+      kbnode_t dummy_keyblock;
+      void *data;
+      size_t datalen;
+      gpg_error_t err;
+
+      /* We do not have an export fucntion which allows to pass a
+         keyblock, thus we need to search the key again.  */
+      err = export_pubkey_buffer (ctrl, hexfpr,
+                                  EXPORT_DANE_FORMAT,
+                                  &dummy_keyblock, &data, &datalen);
+      release_kbnode (dummy_keyblock);
+      if (!err)
+        {
+          hexkeyblocklen = datalen;
+          hexkeyblock = bin2hex (data, datalen, NULL);
+          if (!hexkeyblock)
+            err = gpg_error_from_syserror ();
+          xfree (data);
+          ascii_strlwr (hexkeyblock);
+        }
+      if (err)
+        log_error (_("skipped \"%s\": %s\n"), hexfpr, gpg_strerror (err));
+
+    }
+
+  for (kbctx = NULL; (node = walk_kbnode (keyblock, &kbctx, 0));)
+    {
+      if (node->pkt->pkttype == PKT_USER_ID)
+       {
+         PKT_user_id *uid = node->pkt->pkt.user_id;
+          char *mbox;
+          char *p;
+
+         if (pk && (uid->is_expired || uid->is_revoked)
+             && !(opt.list_options & LIST_SHOW_UNUSABLE_UIDS))
+            continue;
+
+          mbox = mailbox_from_userid (uid->name);
+          if (mbox && (p = strchr (mbox, '@')))
+            {
+              char hashbuf[32];
+              char *hash;
+              unsigned int len;
+
+              *p++ = 0;
+              if (opt.print_pka_records)
+                {
+                  es_fprintf (es_stdout, "$ORIGIN _pka.%s.\n; %s\n; ",
+                              p, hexfpr);
+                  print_utf8_buffer (es_stdout, uid->name, uid->len);
+                  es_putc ('\n', es_stdout);
+                  gcry_md_hash_buffer (GCRY_MD_SHA1, hashbuf,
+                                       mbox, strlen (mbox));
+                  hash = zb32_encode (hashbuf, 8*20);
+                  if (hash)
+                    {
+                      len = strlen (hexfpr)/2;
+                      es_fprintf (es_stdout,
+                                  "%s TYPE37 \\# %u 0006 0000 00 %02X %s\n",
+                                  hash, 6 + len, len, hexfpr);
+                      xfree (hash);
+                    }
+                }
+              if (opt.print_dane_records && hexkeyblock)
+                {
+                  es_fprintf (es_stdout, "$ORIGIN _openpgpkey.%s.\n; %s\n; ",
+                              p, hexfpr);
+                  print_utf8_buffer (es_stdout, uid->name, uid->len);
+                  es_putc ('\n', es_stdout);
+                  gcry_md_hash_buffer (GCRY_MD_SHA256, hashbuf,
+                                       mbox, strlen (mbox));
+                  hash = bin2hex (hashbuf, 28, NULL);
+                  if (hash)
+                    {
+                      ascii_strlwr (hash);
+                      es_fprintf (es_stdout, "%s TYPE61 \\# %u (\n",
+                                  hash, hexkeyblocklen);
+                      xfree (hash);
+                      s = hexkeyblock;
+                      for (;;)
+                        {
+                          es_fprintf (es_stdout, "\t%.64s\n", s);
+                          if (strlen (s) < 64)
+                            break;
+                          s += 64;
+                        }
+                      es_fputs ("\t)\n", es_stdout);
+                    }
+                }
+            }
+          xfree (mbox);
+       }
+
+    }
+  es_putc ('\n', es_stdout);
+
+  xfree (hexkeyblock);
+  xfree (hexfpr);
+}
+
+
+static void
+list_keyblock_print (KBNODE keyblock, int secret, int fpr,
+                     struct keylist_context *listctx)
 {
   int rc;
   KBNODE kbctx;
   KBNODE node;
   PKT_public_key *pk;
-  struct sig_stats *stats = opaque;
   int skip_sigs = 0;
   int s2k_char;
   char *hexgrip = NULL;
   char *serialno = NULL;
+  char pkstrbuf[PUBKEY_STRING_SIZE];
 
   /* Get the keyid from the keyblock.  */
   node = find_kbnode (keyblock, PKT_PUBLIC_KEY);
@@ -811,23 +1032,17 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
 
   check_trustdb_stale ();
 
-  es_fprintf (es_stdout, "%s%c  %4u%c/%s %s",
-          secret? "sec":"pub",
-          s2k_char,
-          nbits_from_pk (pk), pubkey_letter (pk->pubkey_algo),
-          keystr_from_pk (pk), datestr_from_pk (pk));
 
-  if (pk->pubkey_algo == PUBKEY_ALGO_ECDSA
-      || pk->pubkey_algo == PUBKEY_ALGO_ECDH)
+  es_fprintf (es_stdout, "%s%c  %s/%s %s",
+              secret? "sec":"pub",
+              s2k_char,
+              pubkey_string (pk, pkstrbuf, sizeof pkstrbuf),
+              keystr_from_pk (pk), datestr_from_pk (pk));
+
+  if ((opt.list_options & LIST_SHOW_USAGE))
     {
-      char *curve = openpgp_oid_to_str (pk->pkey[0]);
-      const char *name = openpgp_oid_to_curve (curve);
-      if (!*name || *name == '?')
-        name = curve;
-      es_fprintf (es_stdout, " %s", name);
-      xfree (curve);
+      es_fprintf (es_stdout, " [%s]", usagestr_from_pk (pk, 0));
     }
-
   if (pk->flags.revoked)
     {
       es_fprintf (es_stdout, " [");
@@ -857,10 +1072,13 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
     }
 #endif
 
+  if (pk->pubkey_algo >= 100)
+    es_fprintf (es_stdout, " [experimental algorithm %d]", pk->pubkey_algo);
+
   es_fprintf (es_stdout, "\n");
 
   if (fpr)
-    print_fingerprint (pk, 0);
+    print_fingerprint (NULL, pk, 0);
 
   if (opt.with_keygrip && hexgrip)
     es_fprintf (es_stdout, "      Keygrip = %s\n", hexgrip);
@@ -873,11 +1091,11 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
 
   for (kbctx = NULL; (node = walk_kbnode (keyblock, &kbctx, 0));)
     {
-      if (node->pkt->pkttype == PKT_USER_ID && !opt.fast_list_mode)
+      if (node->pkt->pkttype == PKT_USER_ID)
        {
          PKT_user_id *uid = node->pkt->pkt.user_id;
 
-         if (pk && (uid->is_expired || uid->is_revoked)
+         if ((uid->is_expired || uid->is_revoked)
              && !(opt.list_options & LIST_SHOW_UNUSABLE_UIDS))
            {
              skip_sigs = 1;
@@ -890,14 +1108,14 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
            dump_attribs (uid, pk);
 
          if ((uid->is_revoked || uid->is_expired)
-             || ((opt.list_options & LIST_SHOW_UID_VALIDITY) && pk))
+             || (opt.list_options & LIST_SHOW_UID_VALIDITY))
            {
              const char *validity;
              int indent;
 
              validity = uid_trust_string_fixed (pk, uid);
              indent =
-               (keystrlen () + 9) -
+               (keystrlen () + (opt.legacy_list_mode? 9:11)) -
                atoi (uid_trust_string_fixed (NULL, NULL));
 
              if (indent < 0 || indent > 40)
@@ -906,7 +1124,8 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
              es_fprintf (es_stdout, "uid%*s%s ", indent, "", validity);
            }
          else
-           es_fprintf (es_stdout, "uid%*s", (int) keystrlen () + 10, "");
+           es_fprintf (es_stdout, "uid%*s",
+                        (int) keystrlen () + (opt.legacy_list_mode? 10:12), "");
 
          print_utf8_buffer (es_stdout, uid->name, uid->len);
          es_putc ('\n', es_stdout);
@@ -946,23 +1165,16 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
           else
             s2k_char = ' ';
 
-         es_fprintf (es_stdout, "%s%c  %4u%c/%s %s",
+         es_fprintf (es_stdout, "%s%c  %s/%s %s",
                   secret? "ssb":"sub",
                   s2k_char,
-                 nbits_from_pk (pk2), pubkey_letter (pk2->pubkey_algo),
+                  pubkey_string (pk2, pkstrbuf, sizeof pkstrbuf),
                  keystr_from_pk (pk2), datestr_from_pk (pk2));
 
-          if (pk2->pubkey_algo == PUBKEY_ALGO_ECDSA
-              || pk2->pubkey_algo == PUBKEY_ALGO_ECDH)
+          if ((opt.list_options & LIST_SHOW_USAGE))
             {
-              char *curve = openpgp_oid_to_str (pk2->pkey[0]);
-              const char *name = openpgp_oid_to_curve (curve);
-              if (!*name || *name == '?')
-                name = curve;
-              es_fprintf (es_stdout, " %s", name);
-              xfree (curve);
+              es_fprintf (es_stdout, " [%s]", usagestr_from_pk (pk2, 0));
             }
-
          if (pk2->flags.revoked)
            {
              es_fprintf (es_stdout, " [");
@@ -984,7 +1196,7 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
          es_putc ('\n', es_stdout);
          if (fpr > 1)
             {
-              print_fingerprint (pk2, 0);
+              print_fingerprint (NULL, pk2, 0);
               if (serialno)
                 print_card_serialno (serialno);
             }
@@ -1000,24 +1212,25 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
          int sigrc;
          char *sigstr;
 
-         if (stats)
+         if (listctx->check_sigs)
            {
              rc = check_key_signature (keyblock, node, NULL);
              switch (gpg_err_code (rc))
                {
                case 0:
+                 listctx->good_sigs++;
                  sigrc = '!';
                  break;
                case GPG_ERR_BAD_SIGNATURE:
-                 stats->inv_sigs++;
+                 listctx->inv_sigs++;
                  sigrc = '-';
                  break;
                case GPG_ERR_NO_PUBKEY:
                case GPG_ERR_UNUSABLE_PUBKEY:
-                 stats->no_key++;
+                 listctx->no_key++;
                  continue;
                default:
-                 stats->oth_err++;
+                 listctx->oth_err++;
                  sigrc = '%';
                  break;
                }
@@ -1067,7 +1280,7 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
            es_fprintf (es_stdout, " %s", expirestr_from_sig (sig));
          es_fprintf (es_stdout, "  ");
          if (sigrc == '%')
-           es_fprintf (es_stdout, "[%s] ", g10_errstr (rc));
+           es_fprintf (es_stdout, "[%s] ", gpg_strerror (rc));
          else if (sigrc == '?')
            ;
          else if (!opt.fast_list_mode)
@@ -1105,7 +1318,7 @@ list_keyblock_print (KBNODE keyblock, int secret, int fpr, void *opaque)
 }
 
 void
-print_revokers (PKT_public_key * pk)
+print_revokers (estream_t fp, PKT_public_key * pk)
 {
   /* print the revoker record */
   if (!pk->revkey && pk->numrevkeys)
@@ -1118,18 +1331,23 @@ print_revokers (PKT_public_key * pk)
        {
          byte *p;
 
-         es_fprintf (es_stdout, "rvk:::%d::::::", pk->revkey[i].algid);
+         es_fprintf (fp, "rvk:::%d::::::", pk->revkey[i].algid);
          p = pk->revkey[i].fpr;
          for (j = 0; j < 20; j++, p++)
-           es_fprintf (es_stdout, "%02X", *p);
-         es_fprintf (es_stdout, ":%02x%s:\n", pk->revkey[i].class,
-                 (pk->revkey[i].class & 0x40) ? "s" : "");
+           es_fprintf (fp, "%02X", *p);
+         es_fprintf (fp, ":%02x%s:\n",
+                      pk->revkey[i].class,
+                      (pk->revkey[i].class & 0x40) ? "s" : "");
        }
     }
 }
 
+
+/* List a key in colon mode.  If SECRET is true this is a secret key
+   record (i.e. requested via --list-secret-key).  If HAS_SECRET a
+   secret key is available even if SECRET is not set.  */
 static void
-list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
+list_keyblock_colon (KBNODE keyblock, int secret, int has_secret, int fpr)
 {
   int rc;
   KBNODE kbctx;
@@ -1154,14 +1372,14 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
     }
 
   pk = node->pkt->pkt.public_key;
-  if (secret || opt.with_keygrip || opt.with_key_data)
+  if (secret || has_secret || opt.with_keygrip || opt.with_key_data)
     {
       rc = hexkeygrip_from_pk (pk, &hexgrip);
       if (rc)
         log_error ("error computing a keygrip: %s\n", gpg_strerror (rc));
     }
   stubkey = 0;
-  if (secret && agent_get_keyinfo (NULL, hexgrip, &serialno))
+  if ((secret||has_secret) && agent_get_keyinfo (NULL, hexgrip, &serialno))
     stubkey = 1;  /* Key not found.  */
 
   keyid_from_pk (pk, keyid);
@@ -1197,21 +1415,24 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
   print_capabilities (pk, keyblock);
   es_putc (':', es_stdout);            /* End of field 13. */
   es_putc (':', es_stdout);            /* End of field 14. */
-  if (secret)
+  if (secret || has_secret)
     {
       if (stubkey)
        es_putc ('#', es_stdout);
       else if (serialno)
         es_fputs (serialno, es_stdout);
+      else if (has_secret)
+        es_putc ('+', es_stdout);
     }
   es_putc (':', es_stdout);            /* End of field 15. */
   es_putc (':', es_stdout);            /* End of field 16. */
   if (pk->pubkey_algo == PUBKEY_ALGO_ECDSA
+      || pk->pubkey_algo == PUBKEY_ALGO_EDDSA
       || pk->pubkey_algo == PUBKEY_ALGO_ECDH)
     {
       char *curve = openpgp_oid_to_str (pk->pkey[0]);
-      const char *name = openpgp_oid_to_curve (curve);
-      if (!*name || *name == '?')
+      const char *name = openpgp_oid_to_curve (curve, 0);
+      if (!name)
         name = curve;
       es_fputs (name, es_stdout);
       xfree (curve);
@@ -1219,9 +1440,9 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
   es_putc (':', es_stdout);            /* End of field 17. */
   es_putc ('\n', es_stdout);
 
-  print_revokers (pk);
+  print_revokers (es_stdout, pk);
   if (fpr)
-    print_fingerprint (pk, 0);
+    print_fingerprint (NULL, pk, 0);
   if (opt.with_key_data || opt.with_keygrip)
     {
       if (hexgrip)
@@ -1232,7 +1453,7 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
 
   for (kbctx = NULL; (node = walk_kbnode (keyblock, &kbctx, 0));)
     {
-      if (node->pkt->pkttype == PKT_USER_ID && !opt.fast_list_mode)
+      if (node->pkt->pkttype == PKT_USER_ID)
        {
          char *str;
          PKT_user_id *uid = node->pkt->pkt.user_id;
@@ -1253,7 +1474,7 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
            {
              int uid_validity;
 
-             if (pk && !ulti_hack)
+             if (!ulti_hack)
                uid_validity = get_validity_info (pk, uid);
              else
                uid_validity = 'u';
@@ -1285,7 +1506,7 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
           pk2 = node->pkt->pkt.public_key;
           xfree (hexgrip); hexgrip = NULL;
           xfree (serialno); serialno = NULL;
-          if (secret || opt.with_keygrip || opt.with_key_data)
+          if (secret || has_secret || opt.with_keygrip || opt.with_key_data)
             {
               rc = hexkeygrip_from_pk (pk2, &hexgrip);
               if (rc)
@@ -1293,7 +1514,8 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
                            gpg_strerror (rc));
             }
           stubkey = 0;
-          if (secret && agent_get_keyinfo (NULL, hexgrip, &serialno))
+          if ((secret||has_secret)
+              && agent_get_keyinfo (NULL, hexgrip, &serialno))
             stubkey = 1;  /* Key not found.  */
 
          keyid_from_pk (pk2, keyid2);
@@ -1322,21 +1544,24 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
          print_capabilities (pk2, NULL);
           es_putc (':', es_stdout);    /* End of field 13. */
           es_putc (':', es_stdout);    /* End of field 14. */
-          if (secret)
+          if (secret || has_secret)
             {
               if (stubkey)
                 es_putc ('#', es_stdout);
               else if (serialno)
                 es_fputs (serialno, es_stdout);
+              else if (has_secret)
+                es_putc ('+', es_stdout);
             }
           es_putc (':', es_stdout);    /* End of field 15. */
           es_putc (':', es_stdout);    /* End of field 16. */
           if (pk->pubkey_algo == PUBKEY_ALGO_ECDSA
+              || pk->pubkey_algo == PUBKEY_ALGO_EDDSA
               || pk->pubkey_algo == PUBKEY_ALGO_ECDH)
             {
               char *curve = openpgp_oid_to_str (pk->pkey[0]);
-              const char *name = openpgp_oid_to_curve (curve);
-              if (!*name || *name == '?')
+              const char *name = openpgp_oid_to_curve (curve, 0);
+              if (!name)
                 name = curve;
               es_fputs (name, es_stdout);
               xfree (curve);
@@ -1344,7 +1569,7 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
           es_putc (':', es_stdout);    /* End of field 17. */
          es_putc ('\n', es_stdout);
          if (fpr > 1)
-           print_fingerprint (pk2, 0);
+           print_fingerprint (NULL, pk2, 0);
          if (opt.with_key_data || opt.with_keygrip)
             {
               if (hexgrip)
@@ -1438,7 +1663,7 @@ list_keyblock_colon (KBNODE keyblock, int secret, int fpr)
          es_fprintf (es_stdout, ":");
 
          if (sigrc == '%')
-           es_fprintf (es_stdout, "[%s] ", g10_errstr (rc));
+           es_fprintf (es_stdout, "[%s] ", gpg_strerror (rc));
          else if (sigrc == '?')
            ;
          else if (!opt.fast_list_mode)
@@ -1526,34 +1751,80 @@ reorder_keyblock (KBNODE keyblock)
   do_reorder_keyblock (keyblock, 0);
 }
 
-void
-list_keyblock (KBNODE keyblock, int secret, int fpr, void *opaque)
+static void
+list_keyblock (ctrl_t ctrl,
+               KBNODE keyblock, int secret, int has_secret, int fpr,
+               struct keylist_context *listctx)
 {
   reorder_keyblock (keyblock);
-  if (opt.with_colons)
-    list_keyblock_colon (keyblock, secret, fpr);
+  if (opt.print_pka_records || opt.print_dane_records)
+    list_keyblock_pka (ctrl, keyblock);
+  else if (opt.with_colons)
+    list_keyblock_colon (keyblock, secret, has_secret, fpr);
   else
-    list_keyblock_print (keyblock, secret, fpr, opaque);
+    list_keyblock_print (keyblock, secret, fpr, listctx);
+  if (secret)
+    es_fflush (es_stdout);
+}
+
+
+/* Public function used by keygen to list a keyblock.  */
+void
+list_keyblock_direct (ctrl_t ctrl,
+                      kbnode_t keyblock, int secret, int has_secret, int fpr)
+{
+  struct keylist_context listctx;
+
+  memset (&listctx, 0, sizeof (listctx));
+  list_keyblock (ctrl, keyblock, secret, has_secret, fpr, &listctx);
+  keylist_context_release (&listctx);
+}
+
+
+/* Print an hex digit in ICAO spelling.  */
+static void
+print_icao_hexdigit (estream_t fp, int c)
+{
+  static const char *list[16] = {
+    "Zero", "One", "Two", "Three", "Four", "Five", "Six", "Seven",
+    "Eight", "Niner", "Alfa", "Bravo", "Charlie", "Delta", "Echo", "Foxtrot"
+  };
+
+  tty_fprintf (fp, "%s", list[c&15]);
 }
 
+
 /*
  * Function to print the finperprint.
  * mode 0: as used in key listings, opt.with_colons is honored
  *      1: print using log_info ()
  *      2: direct use of tty
  *      3: direct use of tty but only primary key.
+ *      4: direct use of tty but only subkey.
+ *     10: Same as 0 but with_colons etc is ignored.
  *
  * Modes 1 and 2 will try and print both subkey and primary key
- * fingerprints.  A MODE with bit 7 set is used internally.
+ * fingerprints.  A MODE with bit 7 set is used internally.  If
+ * OVERRIDE_FP is not NULL that stream will be used in  0 instead
+ * of es_stdout or instead of the TTY in modes 2 and 3.
  */
 void
-print_fingerprint (PKT_public_key *pk, int mode)
+print_fingerprint (estream_t override_fp, PKT_public_key *pk, int mode)
 {
   byte array[MAX_FINGERPRINT_LEN], *p;
   size_t i, n;
   estream_t fp;
   const char *text;
   int primary = 0;
+  int with_colons = opt.with_colons;
+  int with_icao   = opt.with_icao_spelling;
+
+  if (mode == 10)
+    {
+      mode = 0;
+      with_colons = 0;
+      with_icao = 0;
+    }
 
   if (pk->main_keyid[0] == pk->keyid[0]
       && pk->main_keyid[1] == pk->keyid[1])
@@ -1572,7 +1843,7 @@ print_fingerprint (PKT_public_key *pk, int mode)
     {
       PKT_public_key *primary_pk = xmalloc_clear (sizeof (*primary_pk));
       get_pubkey (primary_pk, pk->main_keyid);
-      print_fingerprint (primary_pk, mode | 0x80);
+      print_fingerprint (override_fp, primary_pk, (mode | 0x80));
       free_public_key (primary_pk);
     }
 
@@ -1586,9 +1857,9 @@ print_fingerprint (PKT_public_key *pk, int mode)
     }
   else if (mode == 2)
     {
-      fp = NULL; /* Use tty.  */
+      fp = override_fp; /* Use tty or given stream.  */
       if (primary)
-       /* TRANSLATORS: this should fit into 24 bytes to that the
+       /* TRANSLATORS: this should fit into 24 bytes so that the
         * fingerprint data is properly aligned with the user ID */
        text = _(" Primary key fingerprint:");
       else
@@ -1596,18 +1867,23 @@ print_fingerprint (PKT_public_key *pk, int mode)
     }
   else if (mode == 3)
     {
-      fp = NULL; /* Use tty.  */
+      fp = override_fp; /* Use tty or given stream.  */
       text = _("      Key fingerprint =");
     }
+  else if (mode == 4)
+    {
+      fp = override_fp; /* Use tty or given stream.  */
+      text = _("      Subkey fingerprint:");
+    }
   else
     {
-      fp = es_stdout;
+      fp = override_fp? override_fp : es_stdout;
       text = _("      Key fingerprint =");
     }
 
   fingerprint_from_pk (pk, array, &n);
   p = array;
-  if (opt.with_colons && !mode)
+  if (with_colons && !mode)
     {
       es_fprintf (fp, "fpr:::::::::");
       for (i = 0; i < n; i++, p++)
@@ -1629,6 +1905,26 @@ print_fingerprint (PKT_public_key *pk, int mode)
        }
     }
   tty_fprintf (fp, "\n");
+  if (!with_colons && with_icao)
+    {
+      p = array;
+      tty_fprintf (fp, "%*s\"", (int)strlen(text)+1, "");
+      for (i = 0; i < n; i++, p++)
+        {
+          if (!i)
+            ;
+          else if (!(i%4))
+            tty_fprintf (fp, "\n%*s ", (int)strlen(text)+1, "");
+          else if (!(i%2))
+            tty_fprintf (fp, "  ");
+          else
+            tty_fprintf (fp, " ");
+          print_icao_hexdigit (fp, *p >> 4);
+          tty_fprintf (fp, " ");
+          print_icao_hexdigit (fp, *p & 15);
+        }
+      tty_fprintf (fp, "\"\n");
+    }
 }
 
 /* Print the serial number of an OpenPGP card if available.  */