3

Как использовать команду --desig-revoke в GnuPG, и в каких случаях ее следует использовать? Согласно инструкции:

--desig-revoke name
Создайте назначенный сертификат отзыва для ключа. Это позволяет пользователю (с разрешения владельца ключа) отозвать чужой ключ.

И в --edit-key есть соответствующее действие:

addrevoker
Добавьте назначенный revoker к ключу. Это принимает один необязательный аргумент: "чувствительный". Если назначенный отозватель помечен как конфиденциальный, он не будет экспортирован по умолчанию (см. Параметры экспорта).

Во-вторых, позволяет ли это кому-то другому отзывать ваш ключ PGP для GnuPG, или это часть стандарта OpenPGP?

2 ответа2

3

Делегирование отзыва

Как использовать команду GnuPG --desig-revoke ?

Команда --desig-revoke добавляет специальный тип подписи в ваш открытый ключ, который позволяет другому ключу (который вы укажете) создавать сертификаты отзыва для вашего ключа позднее. Выполнение команды на самом деле не создает сертификат отзыва, а просто публично позволяет другим делать это. Считайте это делегацией отзыва.

Запуск gpg --edit-key , за которым следует addrevoker делает то же самое, но из меню редактирования ключа.

Случаи применения

... и в каких случаях вы должны его использовать?

Это может быть особенно полезно для крупных организаций, где центральный отзыв ключей сотрудника может быть полезным.

Я также могу себе представить, что при использовании общих ключей, когда ключ могут использовать только несколько пользователей (таким образом, секретный ключ распространяется), возможно, потребуется использовать эту опцию, чтобы каждый пользователь мог индивидуально отозвать ключ. Представьте себе ситуацию, в которой кто-то из группы умер, или они противостояли друг другу.

Третий вариант использования - предоставление доверенному другу возможности отозвать ваш ключ, аналогично передаче распечатанного сертификата отзыва для хранения ему.

Ключи отзыва стандартизированы

Позволяет ли это кому-то другому отзывать ваш ключ PGP для GnuPG, или это является частью стандарта OpenPGP?

Указание ключей отзыва определяется OpenPGP, RFC 4880, поэтому оно не является специфическим для GnuPG.

1

На случай, если люди (как и я) запутались, в разделе « Как создать сертификат отзыва после создания Revoker с помощью GnuPG » было дано несколько дополнительных разъяснений. --edit-key/addrevoker используется для предоставления разрешения другому лицу на создание сертификата отзыва; что кто-то еще использует --desig-revoke для создания сертификата.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .