Як слід використовувати команду GnuPG `--desig-revoke '?

3

Як слід команді GnuPG --desig-revoke і в яких випадках ви повинні використовувати його? Відповідно до посібника:

- Дизайн-відкликання ім'я
Створити призначений сертифікат відкликання для ключа. Це дозволяє користувачеві (з дозволу держателя ключа) скасувати чужий ключ.

І є відповідна дія в Росії --edit-key:

addrevoker
Додайте призначений відклик до ключа. Це приймає один додатковий аргумент: "sensitive". Якщо призначений відклик позначено як чутливий, він не буде експортовано за замовчуванням (див. Опції експорту).

По-друге, чи здатна ця можливість дозволити комусь іншому скасувати ваш ключ PGP GnuPG, чи вона є частиною стандарту OpenPGP?

gnupg  pgp  public-key 
IQAndreas
джерело
Пошук інформації про команду є важким, оскільки більшість сторінок, які відображаються в пошуковій системі Google, не є поясненням, а керівництвом.
IQAndreas

Відповіді:

3

Делегування відкликань

Як слід команді GnuPG --desig-revoke бути використаним?

Команда --desig-revoke додає спеціальний тип підпису до вашого відкритого ключа, що дозволяє іншому ключу (який ви вкажете) створити сертифікати відкликання для вашого ключа пізніше. Запуск команди фактично не створює сертифікат відкликання, він лише публічно дозволяє іншим зробити це. Розглянемо це як делегування відкликання.

Біг gpg --edit-key, після чого addrevoker робить саме те ж саме, але з меню редагування клавіш.

Використовуйте футляри

... і в яких випадках ви повинні використовувати його?

Це може бути особливо корисним для великих організацій, де може бути корисним центральне скасування ключів співробітників.

Я можу також уявити, що при використанні спільних ключів, де тільки кілька користувачів разом можуть використовувати ключ (тому секретний ключ розповсюджується), можливо, буде потрібно використовувати цей параметр, так що кожен користувач може індивідуально скасувати ключ. Уявіть собі ситуацію, коли одна з груп померла, або вони антагонізували.

Третій випадок використання дасть довіреному другу можливість відкликати ваш ключ, подібно до передачі друкованого сертифікату про анулювання для його зберігання.

Ключі відкликання стандартизовані

Чи дозволяє ця можливість дозволити комусь іншому анулювати ваш ключ PGP GnuPG, або вона є частиною стандарту OpenPGP?

Зазначення ключів скасування визначається OpenPGP, RFC 4880 , тому він не є специфічним для GnuPG.

Jens Erat
джерело
1
Якщо ви використовуєте --desig-revoke (і згодом завантажувати згенерований сертифікат), ви публічно повідомляєте, що даному ключу дозволено генерувати сертифікати відкликання для вашого ключа. Якщо ви передаєте сертифікат відкликання комусь, ви (фізично) даєте йому можливість завантажити сертифікат відкликання, створений вами. --desig-revoke робить ні генерувати сертифікат відкликання, це лише спеціальний підпис, що дозволяє іншим створювати сертифікати анулювання для вашого ключа.
Jens Erat
1

У випадку, якщо люди (як я) заплуталися, було надано деякі додаткові роз'яснення " Як згенерувати сертифікат відкликання після того, як ви отримали відкликання з GnuPG " --edit-key / addrevoker використовується для надання дозволу іншому генерувати сертифікат відкликання; що хтось інший використовує --desig-revoke фактично створити сертифікат.

PeterCJ
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.