我已经为代码签名创建了 GPG 密钥,还创建了一个吊销证书。据我所知,如果密钥被泄露,那么我可以使用撤销证书来撤销密钥。
有人可以建议我如何使用吊销证书吊销我的密钥吗?还有一个疑问是,在撤销密钥后,我应该在任何 GPG 密钥服务器上上传吗?这样使用我的密钥验证代码签名的人可以在使用我的代码签名文件之前检查密钥是否被撤销。
如果不需要在密钥服务器中上传,那么我的客户如何检查密钥是否被撤销?
AskOverflow.Dev
我已经为代码签名创建了 GPG 密钥,还创建了一个吊销证书。据我所知,如果密钥被泄露,那么我可以使用撤销证书来撤销密钥。
有人可以建议我如何使用吊销证书吊销我的密钥吗?还有一个疑问是,在撤销密钥后,我应该在任何 GPG 密钥服务器上上传吗?这样使用我的密钥验证代码签名的人可以在使用我的代码签名文件之前检查密钥是否被撤销。
如果不需要在密钥服务器中上传,那么我的客户如何检查密钥是否被撤销?
这是撤销步骤的摘要,基于文章 GPG:撤销您的公钥并通知密钥服务器。下面假设密钥服务器是
pgp.mit.edu.列出键
撤销您的密钥
将吊销证书导入您的密钥环
在密钥服务器上搜索您的密钥
将撤销的密钥发送到密钥服务器
是的,但是只要您拥有实际的私钥(如果它已被泄露但未被破坏),您就可以随时使用它来撤销自己。也就是说,它总是可以“即时”生成新的撤销证书。
相反,预先生成的撤销证书存在于私钥完全丢失的情况下,而不仅仅是在它被泄露的情况下。它可以存储在朋友家的 U 盘上。
(当然,您也应该始终在场外保留私钥的备份。但最大的区别是私钥的备份更加敏感,因为如果被盗,它可以用来以您的名义做任何事情,而“撤销证书”只能用于做一件非常具体的事情。)
将 revcert导入您的 PGP 密钥环就足够了——它本质上只是一个密钥签名(GnuPG 中的“自我认证”),它以与您可以让其他人签署您的密钥完全相同的方式附加到您的主公钥并导入这些签名。
导入后,程序应将密钥显示为已撤销,您应在标准位置(密钥服务器等)发布更新的公钥
是的你应该。发布密钥(和更新密钥)是密钥服务器的用途。
您可以手动(重新)将撤销的密钥导出到文件并直接提供给他们(或在 Keybase 或您的网站上发布 - 如果您希望客户每天重新检查......)但他们肯定是不会神奇地知道计算机内部发生了什么。这就是密钥服务器存在的原因。