Лучший способ подать сигнал больше не используется (потерян) ключ

0

У меня есть старый ключ PGP, для которого у меня больше нет ни секрета, ни сертификата отзыва, и когда я создал ключ, я сделал это без срока годности.

Так что я знаю, я должен идти дальше, и я так и сделал. Я создал новый ключ. Теперь я хотел бы как-то показать на серверах ключей, что ключ, который старый ключ не должен использоваться. Я читал, что для этой цели есть несколько подходов:

  1. Создайте ключ с UID, который предупреждает об устаревании, и подпишите старый ключ этим.
  2. Назначьте отозвать даже без назначенных дарований на старый ключ к новому.
  3. Подпишите старый ключ новым и отзовите подпись.

Какой из них является наиболее правильным, если таковой имеется, и как мне это сделать? Я хотел сделать # 2, но это дает мне ошибку, что ключ отзыва не был найден, я думаю, возможно, потому что я не назначенный отзывщик?

James Ash
источник

Ответы:

0

Это ситуация без действительно хорошего решения.

  1. Создайте ключ с UID, который предупреждает об устаревании, и подпишите старый ключ этим.

Это приводит к видимости в неправильном конце: любой, у кого есть старый ключ (или найдет его первым), не поймет, что старый ключ (может быть) заменен.

С другой стороны, эта информация всегда отображается на видном месте для пользователей вашего правильного ключа. И это звучит немного как «Привет тебе, я потерял контроль над своим старым ключом, не используй его больше, я сделаю лучше в следующий раз».

  1. Назначьте отозвать даже без назначенных дарований на старый ключ к новому.

Из-за недостающих грантов отозванного, аннулирование не будет действительным. В зависимости от используемого программного обеспечения, по крайней мере, какое-то сообщение отображается пользователю, сообщая ему что-то подозрительное.

На мой взгляд, лучшее, что вы можете сделать, в любом случае. Я уверен, что однажды сделал именно это для целей тестирования - но я не могу больше это воспроизводить. Либо некоторые меры безопасности были добавлены в GnuPG, либо я обнаружил ошибку в прошлом, либо что-то пошло не так. Вы, возможно, сможете взломать исходный код GnuPG или использовать другую реализацию для выполнения этой операции без этой защиты.

  1. Подпишите старый ключ новым и отзовите подпись.

Опять же, это на самом деле не отзовет ключ, а только принесет некоторую информацию для интерпретации пользователем. Это не будет видно большинству пользователей при поиске ключей, но вы даже можете добавить текстовое сообщение. Семантически, вы не отзываете ключ, а ID пользователя (поэтому повторите для всех идентификаторов пользователя, если у вас было несколько).


Как правило, все они на самом деле не отзывают ваш ключ. Убедитесь, что ваш новый ключ хорошо интегрирован в сеть доверия: попросите подписей у друзей и коллег по работе, посетите вечеринки по подписанию ключей. Надеюсь, что другие будут использовать ваш новый ключ, если он более глубоко интегрирован в сеть доверия и новее.

И предварительно создайте сертификат отзыва. Положите его в безопасное место, где вы никогда не потеряете его. Передайте это другу или другому доверенному лицу. Он сможет только отозвать ваш ключ, но больше ничего с ним не сделает.

Jens Erat
источник