Как сгенерировать сертификат отзыва после того, как с помощью GnuPG был отозван

Question

Я прочитал " Как использовать команду` --desig-revoke` GnuPG?"вопрос / ответ, так что теперь я знаю, когда использовать --desig-revoke.

Итак, у меня есть два разных закрытых ключа - один на работе (РАБОЧАЯ РАБОТА) и один на дому (ДОМОЙ). Готовясь к худшему (в сегодняшней экономике - неплохая идея), я хочу иметь возможность отозвать свое удостоверение личности из дома.

Я надеялся, что смогу использовать полученные знания, чтобы установить это. На работе я использовал addrevoker (внутренний эквивалент --desig-revoke, потому что мой gpg --help не показывал --desig-revoke в качестве опции), без чувствительного аргумента, чтобы мой домашний ключ мог создать сертификат отзыва для моего рабочего ключа. Затем я экспортировал свой открытый ключ на работе и импортировал его дома.

После импорта я вижу:

cmd.exe> gpg --list-keys
path/to/pubring.gpg
------------------------------------------------
pub   4096R/HOMEHOME 2010-12-11
uid       [ultimate] PryrtCJ <PryrtCJ@home>
sub   4096R/________ 2010-12-11
sub   4096R/________ 2014-11-22 [expires: 2015-12-31]
sub   4096R/________ 2014-11-22 [expires: 2015-12-31]

pub   4096R/WORKWORK 2010-12-15
uid       [  full  ] PryrtCJ <PryrtCJ@work>
sub   4096R/________ 2010-12-15

И для проверки результатов выкладывания домой:

cmd.exe> gpg --edit-key WORKWORK
gpg (GnuPG) 2.0.26; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


This key may be revoked by RSA key HOMEHOME PryrtCJ@home
pub  4096R/WORKWORK  created: 2010-12-15  expires: never       usage: SC
                     trust: full          validity: full
sub  4096R/________  created: 2010-12-15  expires: never       usage: E
[  full  ] (1). PryrtCJ <PryrtCJ@work>

Поэтому у меня, очевидно, есть разрешение отозвать мой рабочий ключ. Но когда я пытаюсь, я получаю только эту ошибку:

cmd.exe> gpg --output revoke-WORKWORK.asc --gen-revoke WORKWORK
gpg: secret key "WORKWORK" not found: Unknown system error

Итак, как мне на самом деле сгенерировать сертификат отзыва, используя мое недавно предоставленное разрешение?

Answer 1

Не используйте --gen-revoke , но вместо этого --desig-revoke . От man gpg:

--desig-revoke name
       Generate a designated revocation certificate for a key. This allows a
       user (with the permission of the keyholder) to revoke someone else's key.

GnuPG спросит вас, хотите ли вы создать сертификат отзыва для этого другого ключа, например, отозвав 0xdeadbeef с ключом, который вы используете:

$ gpg --desig-revoke 0xDEADBEEF

pub  1024R/DEADBEEF 2015-02-25 Alice

To be revoked by:

sec  2048R/E6F0D5F6 2015-02-25 Bob

Create a designated revocation certificate for this key? (y/N)

[...]

--desig-revoke выведет сертификат отзыва ascii-armored.