コード署名用のGPGキーを作成し、失効証明書も作成しました。私の知る限り、キーが危険にさらされている場合は、失効証明書を使用してキーを失効させることができます。
誰かが失効証明書で私のキーを失効させる方法を提案できますか?また、もう1つ疑問があります。キーを取り消した後、GPGキーサーバーにアップロードする必要がありますか?コード署名を確認するために私のキーを使用している誰かが、コード署名されたファイルを使用する前に、キーが取り消されているかどうかを確認できるようにします。
キーサーバーへのアップロードが不要な場合、顧客がキーを確認する方法が取り消されているかどうか。
これは、記事 GPG:公開鍵の取り消しとkey-serverの通知 に基づく、取り消しの手順の概要です。以下では、鍵サーバーがpgp.mit.edu
。
リストキー
gpg --list-keys
鍵を取り消す
gpg --output revoke.asc --gen-revoke key-ID
失効証明書をキーリングにインポートします
gpg --import revoke.asc
キーサーバーでキーを検索します
gpg --keyserver pgp.mit.edu --search-keys key-ID
失効した鍵を鍵サーバーに送信します
gpg --keyserver pgp.mit.edu --send-keys key-ID
私の知る限り、キーが危険にさらされている場合、失効証明書を使用してキーを失効させることができます。
はい。ただし、実際の秘密鍵を持っている限り(侵害されているが破棄されていない場合)、いつでもそれを使用してそれ自体を取り消すことができます。つまり、常に「オンザフライ」で新しい失効証明書を生成できます。
代わりに、事前に生成された失効証明書は、秘密鍵が侵害されたときだけでなく、秘密鍵が完全に失われたの場合に存在します。友人の家のUSBスティックに保存するものです。
(もちろん、秘密鍵のバックアップも常にオフサイトに保管する必要があります。しかし、大きな違いは、秘密鍵のバックアップははるかに機密性が高いということです。盗まれた場合に使用できるためです何かあなたの名前の下で、「失効証明書」は非常に特定のことを行うためにのみ使用できます。)
誰かが失効証明書で私のキーを失効させる方法を提案できますか?
import revcertをPGP鍵リングに追加するだけで十分です。これは、基本的に、署名とまったく同じ方法でメインの公開鍵に添付される単なる鍵の署名(GnuPGでは「自己認証」)他の人にあなたの鍵に署名させ、それらの署名をインポートさせることができます。
それがインポートされるとすぐに、プログラムはキーが取り消されたと表示し、更新された公開鍵を標準の場所(keyserverなど)に公開する必要があります。
また、もう1つ疑問があります。キーを取り消した後、GPGキーサーバーにアップロードする必要がありますか?
はい、そうすべきです。キーの公開(およびキーの更新)は、キーサーバーの目的です。
キーサーバーでのアップロードが不要な場合、顧客がキーを確認する方法が取り消されているかどうか。
取り消されたキーを手動で(再)ファイルにエクスポートして直接それらに渡すことができます(またはキーベースまたはWebサイトで公開します–顧客が毎日それを再確認することを期待している場合...)しかし、それらは確かにあなたのコンピュータの内部で何が起こっているかを魔法のように知るつもりはありません。それが鍵サーバーが存在する理由です。