Criei chaves GPG para assinatura de código e também criei um certificado de revogação. Tanto quanto sei, se a chave estiver comprometida, posso revogar a chave usando o certificado de revogação.
Alguém pode me sugerir como revogar minha chave com certificado de revogação? Além disso, mais uma dúvida é, depois de revogar as chaves, devo fazer o upload em qualquer servidor de chaves GPG? Para que alguém usando minhas chaves para verificar a assinatura do código possa verificar se a chave foi revogada ou não antes de usar meus arquivos assinados por código.
se o upload no servidor de chaves não for necessário, como meu cliente pode verificar se a chave foi revogada ou não?
Este é um resumo das etapas para revogação, com base no artigo GPG: Revogando sua chave pública e notificando o servidor de chaves . O seguinte pressupõe que o servidor de chaves é
pgp.mit.edu.Listar chaves
Revogue sua chave
Importar certificado de revogação para seu chaveiro
Pesquise sua chave no servidor de chaves
Envie a chave revogada para o servidor de chaves
Sim, mas desde que você tenha a chave privada real (se ela estiver comprometida, mas não destruída), você sempre poderá usá-la para revogar a si mesma. Ou seja, ele sempre pode gerar novos certificados de revogação "on the fly".
Em vez disso, o certificado de revogação pré-gerado existe para situações em que a chave privada é completamente perdida , não apenas quando está comprometida. É algo para armazenar em um pendrive na casa de um amigo.
(Claro, você deve sempre manter um backup da chave privada fora do local também. Mas a grande diferença é que um backup da chave privada é muito mais sensível, pois se for roubado pode ser usado para fazer qualquer coisa em seu nome , enquanto o 'certificado de revogação' só pode ser usado para fazer uma coisa muito específica.)
Deve ser suficiente importar o revcert para o seu chaveiro PGP - é essencialmente apenas uma assinatura de chave ("autocertificação" no GnuPG) que é anexada à sua chave pública principal exatamente da mesma maneira que você pode fazer com que outras pessoas assinem sua chave e importar essas assinaturas.
Assim que for importado, o programa deve mostrar a chave como revogada e você deve publicar a chave pública atualizada em locais padrão (keyserver, etc.)
Sim você deveria. A publicação de chaves (e atualizações de chaves) é para que servem os servidores de chaves.
Você pode (re)exportar manualmente a chave revogada para um arquivo e entregá-la diretamente a eles (ou publicá-la no Keybase ou em seu site – se você espera que o cliente verifique novamente diariamente...) não vai saber magicamente o que acontece dentro do seu computador. É por isso que os servidores de chaves existem.