Как отозвать старые ключи OpenPGP?

Question

Как отозвать старые ключи OpenPGP?

Я был глупым на протяжении многих лет и создал несколько ключей OpenPGP по разным причинам (в основном самообучению) и никогда не отзывал ни один из них, не менял их и т. Д. Перед переустановкой или еще чем-то.

В любом случае, мне было интересно, есть ли способ исправить мои ошибки, у меня есть список всех предыдущих ключей, которые я использовал на сервере ключей Ubuntu, и мне было интересно, есть ли способ повторно импортировать и отозвать их, или они утеряны? причина.

С тех пор я узнал свои ошибки и придерживаюсь строгой политики резервного копирования / отзыва.

7

gnupg

Источник

kenny727 17 мар '15 в 04:45

1 ответ

Решение

Другие вопросы по тегам gnupg

Jens Erat 17 мар '15 в 09:16 2015-03-17 09:16 · Accepted Answer · 2015-03-17 09:16

Это зависит от того, есть ли у вас закрытый ключ или нет.

Имея доступ к закрытому ключу:
Вам повезло, и вы сможете отозвать ключ. Это так же просто, как бег gpg --edit-key [key-id], Внутри меню редактирования запустите revkey, При необходимости импортируйте сертификат отзыва (gpg --import [file]) и отправьте его на серверы ключей (gpg --send-keys [key-id]).
Не имея доступа к закрытому ключу:
Это очень плохо, так как вы больше не владелец ключа, а "злой злоумышленник".
Краткий ответ: вам не повезло, вы не сможете удалить ключи, они останутся навсегда.
Длинный ответ, с некоторой точки зрения:
- В будущем, возможно, удастся перебить старые ключи RSA 1024 за разумное время. Но не ожидайте, что это произойдет в ближайшее время. Квантовые компьютеры могут изменить эту ситуацию, как только они действительно появятся.
- Есть еще одна вещь, которую вы можете сделать, чтобы хотя бы намекнуть, что вы больше не используете эти ключи: OpenPGP знает так называемые назначенные отзыва, где ключ может быть отозван другим. Вы можете использовать свой новый ключ для генерации таких отзывов, но имейте в виду, что они на самом деле не будут действительны (поскольку старые ключи, скорее всего, не указывали ваш новый как назначенный отозванный). Но другие пользователи могут наблюдать это и делать свои собственные выводы. В конце концов, это лучшее, что вы можете сделать.

В любом случае: вы не одиноки, это случается со многими людьми. Если ключи не имеют каких-либо сертификатов, их можно все равно проигнорировать, так как любой мог создать поддельные ключи для вашего имени ( и даже идентификатор ключа).

GnuPG 2.1 автоматически генерирует сертификаты отзыва вместе с новыми ключами. Не забудьте сгенерировать его вручную, если используете более старую версию, а также убедитесь, что у вас есть резервная копия этого сертификата: я рекомендую создать QR-код (qrencode полезно здесь) и распечатайте его на листе бумаги, который вы также можете передать доверенному лицу (единственное, что может произойти, это то, что этот человек злонамеренно отзовет ваш ключ, но не сможет получить к нему доступ).