¿Limpiar mi llavero gnupg?

Mi llavero gnupg contiene cientos de entradas innecesarias. ¿Cómo eliminaría las claves caducadas, revocadas y sin firmar?

Me gustaría conservar las claves que han firmado mi clave e importar nuevas claves solo según sea necesario. Anteriormente importé toda la red de confianza para los firmantes de mi clave. Parece que uno de mis firmantes clave ha recogido una gran cantidad de firmas en sus viajes, y ahora están obstruyendo mi llavero.

De la hoja de trucos GPG de Charles Lockhart :

Lo he usado User Namecomo el nombre asociado con la clave. Lo siento, eso no es muy imaginativo. Creo que gpg es bastante amplio en sus asignaciones de usuario, por ejemplo, el nombre de mi clave privada es "Charles Lockhart", pero puedo hacer referencia a eso simplemente poniendo "Lockhart". Eso no tiene ningún sentido, lo siento.

            ︙

para eliminar una clave pública (de su conjunto de claves públicas):

$ gpg --delete-key "User Name"

Esto elimina la clave pública de su anillo de clave pública.
NOTA: Si hay una clave privada en su conjunto de claves privadas asociada con esta clave pública, ¡obtendrá un error! Primero debe eliminar su clave privada para este par de claves de su anillo de claves privadas.

para eliminar una clave privada (una clave en su conjunto de claves privadas):

$ gpg --delete-secret-key "User Name"

Esto elimina la clave secreta de su llavero secreto.

Tengo un script bash programado para ejecutarse semanalmente desde cron para manejar esto:

#!/bin/bash
# Clean up the GPG Keyring.  Keep it tidy.
# blog.lavall.ee

echo -n "Expired Keys: "
for expiredKey in $(gpg2 --list-keys | awk '/^pub.* \[expired\: / {id=$2; sub(/^.*\//, "", id); print id}' | fmt -w 999 ); do
    echo -n "$expiredKey"
    gpg2 --batch --quiet --delete-keys $expiredKey >/dev/null 2>&1
    if [ $? -eq 0 ]; then
        echo -n "(OK), "
    else
        echo -n "(FAIL), "
    fi
done
echo done.

echo -n "Update Keys: "
for keyid in $(gpg -k | grep ^pub | grep -v expired: | grep -v revoked: | cut -d/ -f2 | cut -d' ' -f1); do
    echo -n "$keyid"
    gpg2 --batch --quiet --edit-key "$keyid" check clean cross-certify save quit > /dev/null 2>&1
    if [ $? -eq 0 ]; then
        echo -n "(OK), "
    else
        echo -n "(FAIL), "
    fi
done
echo done.

gpg2 --batch --quiet --refresh-keys > /dev/null 2>&1
if [ $? -eq 0 ]; then
    echo "Refresh OK"
else
     echo "Refresh FAIL."
fi

% gpg --edit-key KEYID
gpg> clean
User ID [...]: 139 signatures removed
gpg> save
% gpg --version
gpg (GnuPG) 1.4.18
[...]

echo -n "Expired Keys: "
list_expired_keys="$(gpg2 --list-keys | grep -1 pub | sed 'N;s/\n/ /' | awk '/^pub.* \[expired\: / {id=$7; sub(/^.*\//, "", id); print id}' | fmt -w 999)";
list_revoked_keys="$(gpg2 --list-keys | grep -1 pub | sed 'N;s/\n/ /' | awk '/^pub.* \[revoked\: / {id=$7; sub(/^.*\//, "", id); print id}' | fmt -w 999)";
for key in $list_expired_keys $list_revoked_keys; do
    echo -n "$key"
    gpg2 --batch --quiet --delete-keys $key >/dev/null 2>&1
    if [ $? -eq 0 ]; then
        echo -n "(OK), "
    else
        echo -n "(FAIL), "
    fi
done
echo done.

Aquí hay un bash-script haciendo el trabajo. Es una adaptación de https://superuser.com/a/859739 para gpg2 donde la identificación de la clave está en la segunda línea.