Как отозвать старые ключи OpenPGP?

Question 1

Я был глупым на протяжении многих лет и создал несколько ключей OpenPGP по разным причинам (в основном самообучению) и никогда не отзывал ни один из них, не менял их и т. Д. Перед переустановкой или еще чем-то.

Как бы то ни было, мне было интересно, есть ли способ исправить мои ошибки, у меня есть список всех предыдущих ключей, которые я использовал на сервере ключей Ubuntu, и мне было интересно, есть ли способ повторно импортировать и отозвать их или они потеряли дело.

С тех пор я узнал о своих ошибках и придерживаюсь строгой политики резервного копирования / отзыва.

Question 2

Это зависит от того, есть ли у Вас все еще закрытый ключ, или нет.

доступ Наличия к закрытому ключу:

Вы удачливы, и будете в состоянии отменить ключ. Это столь же легко как выполнение gpg --edit-key [key-id]. В меню редактирования, выполненном revkey. Импортируйте сертификат аннулирования в случае необходимости (gpg --import [file]) и отправьте его на серверы ключей (gpg --send-keys [key-id]).
Наличие никакого доступа к закрытому ключу:

Это очень плохо, поскольку Вы - теперь не ключевой владелец больше, но "злой взломщик".

Короткий ответ: Вы являетесь неудачливыми желание не быть в состоянии удалить ключи, они останутся навсегда .

ответ Long, с некоторой перспективой:
- В будущие времена, это могло бы быть возможно к старому RSA "в лоб" 1 024 ключа в разумной сумме вычислительного времени. Но не ожидайте, что это скоро происходит. Квантовые компьютеры могли бы изменить эту ситуацию, как только они на самом деле прибывают.
- существует другая вещь, можно сделать к [по крайней мере 117] подсказку , что Вы не используете эти ключи больше: OpenPGP знает так называемые обозначенные аннулирования, где ключ может быть отменен другим. Вы могли использовать свой новейший ключ для генерации таких аннулирований, но знать они действительно не будут допустимы (поскольку старые ключи очень вероятно не определили новый, как определяется revoker). Но другие пользователи могли бы наблюдать это и сделать их собственные выводы. В конце это - лучшая вещь, которую можно сделать.

Так или иначе: Вы, ни одни, это происходит с большим количеством людей. Если ключи не имеют никаких сертификаций, довольно безопасно проигнорировать их так или иначе, поскольку кто-либо, возможно, создал поддельные ключи для Вашего имени ( и даже ключевой идентификатор ).

GnuPG 2.1 автоматически генерирует сертификаты аннулирования вместе с новыми ключами. Удостоверьтесь, что генерировали тот вручную при использовании более старой версии, и также удостоверились, что имели резервное копирование сохранения этого сертификата: Я рекомендую создать QR-код (qrencode, полезно здесь), и распечатайте его на листке бумаги, который Вы могли также передать доверяемому человеку (единственная вещь, которая могла произойти, этот человек, злонамеренно отменяет Ваш ключ, но не может получить дальнейший доступ).

Community · Accepted Answer · 29 November 2017 в 23:04

Это зависит от того, есть ли у Вас все еще закрытый ключ, или нет.

доступ Наличия к закрытому ключу:

Вы удачливы, и будете в состоянии отменить ключ. Это столь же легко как выполнение gpg --edit-key [key-id]. В меню редактирования, выполненном revkey. Импортируйте сертификат аннулирования в случае необходимости (gpg --import [file]) и отправьте его на серверы ключей (gpg --send-keys [key-id]).
Наличие никакого доступа к закрытому ключу:

Это очень плохо, поскольку Вы - теперь не ключевой владелец больше, но "злой взломщик".

Короткий ответ: Вы являетесь неудачливыми желание не быть в состоянии удалить ключи, они останутся навсегда .

ответ Long, с некоторой перспективой:
- В будущие времена, это могло бы быть возможно к старому RSA "в лоб" 1 024 ключа в разумной сумме вычислительного времени. Но не ожидайте, что это скоро происходит. Квантовые компьютеры могли бы изменить эту ситуацию, как только они на самом деле прибывают.
- существует другая вещь, можно сделать к [по крайней мере 117] подсказку , что Вы не используете эти ключи больше: OpenPGP знает так называемые обозначенные аннулирования, где ключ может быть отменен другим. Вы могли использовать свой новейший ключ для генерации таких аннулирований, но знать они действительно не будут допустимы (поскольку старые ключи очень вероятно не определили новый, как определяется revoker). Но другие пользователи могли бы наблюдать это и сделать их собственные выводы. В конце это - лучшая вещь, которую можно сделать.

Так или иначе: Вы, ни одни, это происходит с большим количеством людей. Если ключи не имеют никаких сертификаций, довольно безопасно проигнорировать их так или иначе, поскольку кто-либо, возможно, создал поддельные ключи для Вашего имени ( и даже ключевой идентификатор ).

GnuPG 2.1 автоматически генерирует сертификаты аннулирования вместе с новыми ключами. Удостоверьтесь, что генерировали тот вручную при использовании более старой версии, и также удостоверились, что имели резервное копирование сохранения этого сертификата: Я рекомендую создать QR-код (qrencode, полезно здесь), и распечатайте его на листке бумаги, который Вы могли также передать доверяемому человеку (единственная вещь, которая могла произойти, этот человек, злонамеренно отменяет Ваш ключ, но не может получить дальнейший доступ).

Как отозвать старые ключи OpenPGP?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: