私のOpenPGP秘密鍵はサブ鍵で設定されています。サブキーを取り消して新しいキーを再発行するとどうなりますか？

「 完全なGPGキーペアの作成 」で説明されている一般的な指示に従って、OpenPGPキーをサブキーで設定しました。一般的な要点は、ラップトップにではなくである「マスターキーペア」を作成することですが、代わりに安全なエアギャップデバイスに保存します。私の場合、それは暗号化されたUSBキーです。また、デジタル版が紛失または破損した場合に備えて、ペーパーキーバージョンとマスターキーの失効キーが印刷されています。私のラップトップには、マスター署名キーではなく、サブキーしかありません。その結果、gpg -Kを実行すると（秘密鍵を表示するため）、次のようになります。

/Users/myusername/.gnupg/secring.gpg
-------------------------------
sec#  4096R/0x123412341234FFFF 2014-04-18
uid                            My Name <[email protected]>
ssb   4096R/0x123412341234AAAA 2014-04-18
ssb   4096R/0x123412341234BBBB 2014-09-24
ssb   4096R/0x123412341234CCCC 2014-09-30

sec#は、マスター署名鍵がコンピューターに保存されていないことを示します。暗号化されたUSBキーをロードしてgpg gpg --home=/path/to/secure/gpg/keys/.gnupg -Kを実行すると、次のように表示されます。

/path/to/secure/gpg/keys/.gnupg/secring.gpg
-------------------------------
sec  4096R/0x123412341234FFFF 2014-04-18
uid                            My Name <[email protected]>
ssb   4096R/0x123412341234AAAA 2014-04-18
ssb   4096R/0x123412341234BBBB 2014-09-24
ssb   4096R/0x123412341234CCCC 2014-09-30

ご覧のとおり、sec#ではなくsecと表示されています。

この設定では、ラップトップが危険にさらされている場合、サブキーを安全に取り消すことができます信頼のWebとの接続を失うことなく-に接続しているためマスター署名鍵による信頼の網。

私のラップトップが危険にさらされているとしましょう。このモデルはおそらくこれを防御します。ベストプラクティスは次のとおりです。

1. 安全なUSBキーを入手して、安全なキーリングからGnuPGをロードします
2. マスターキーペアを使用して、サブキーを取り消します[サブキーが侵害されたため]
3. 次に、署名と暗号化のための新しいサブキーを発行し、これらすべての変更を公開キーサーバーにプッシュします。

私の質問は：これは正しいことですか？これを行うと、正確には何が起こりますか？新しい秘密鍵/公開鍵のペアを生成し、古いものを無効化すると思います。そうすれば、敵が私の古い秘密鍵を持っている場合、理論的には私の古い公開鍵で暗号化された古い通信にアクセスできます。しかし、その秘密鍵は取り消されているため、彼らは私として何にも署名できませんでした。さらに、誰かがキーサーバーを介して私を検索すると、古い公開鍵と新しい公開鍵の両方が表示されますが、古い公開鍵は取り消されたものとして表示され、新しい公開鍵の日付が新しいため、GnuPGユーザーが私に送信しようとします暗号化されたメッセージまたは暗号化されたファイルは、new（取り消されていない）公開鍵で自動的に暗号化します。そして、敵対者はこのメッセージを読むことができなくなります。

私はこれでまったく正しいですか？誰かが明確にしてもらえますか？