GnuPG のキーリングに複数のユーザーの公開鍵がいくつか入っています。これらのユーザーの 1 人が新しい公開鍵に切り替えました。信頼度が に割り当てられたユーザーの古い鍵はまだ残っていますultimate
。同じ信頼度を新しい鍵に割り当てました。
彼はもう古い鍵を使っていません。古い鍵はどうすればいいでしょうか?信頼を撤回するべきでしょうか、それとも取り消すべきでしょうか?このような場合の正しい手順は何でしょうか?
答え1
初めに、究極の信頼は他人の鍵には使用すべきではなく、完全な信頼で十分です鍵自体を有効にするために究極の信頼を発行した場合、信頼のウェブの概念彼のすべての認証が自分にとって有効であること(つまり、信頼の輪を広げること)だけを望むのであれば、同時に彼を認証すれば、完全な信頼で十分です。
実際の質問に関してですが、これは状況によって多少異なります。
- 相手のキーを取り消すことはできません。キーの所有者はそれを取り消しましたか?もしそうなら、彼は失効証明書をあなたに送信すればいいのです。たとえば、それをキー サーバーにアップロードして、あなたがそれを再度取得できるようにするのです。キーが失効されれば、いずれにしても信頼について気にする必要はなくなります。
- キー所有者はキーの制御権を失いましたが、キーを取り消すことはできなくなりました。たとえば、誰かがキーの唯一のコピーを持つラップトップを盗んだが、所有者は失効証明書を持っていない(非常に悪い考えです)。信頼を撤回し、「なし」に設定することで、状況を修正するのはあなたの責任です。また、所有者のキーの取り扱いに大きな問題があると思われるため、新しいキーでも同じことを検討してください。これは変わりません。有効彼のキー(あなたが署名した場合)であれば、それによって発行された証明書が他の人の有効性の計算に使用されないようにするだけです。
鍵の所有者もう鍵を使いたくないただし、まだキーを所有しており、彼が築き上げた信頼のネットワークでの評判を維持したいと考えています (おそらくあなたもこれを利用したいでしょう)。新しいキーをインポートするだけで、古いキーについてはまったく気にする必要はありません。信頼を「究極」から「完全」に変更すること以外は。
誤って古いキーで暗号化しないようにするには、 を実行して無効にし
gpg --edit-key [key-id]
、次に GnuPG のdisable
コマンドを使用します。
答え2
古いキーを取り消すことはできません。取り消すことができるのは、所有者 (秘密キーを保持している人) だけです。
おそらく、キーリングからキーを完全に削除したくないでしょう。それは、古いキーを使用して通信相手が署名した古いメールの署名を引き続き検証できるようにするためです。信頼レベルを変更することも、古いメールの署名が以前ほど信頼されていないことを暗黙的に意味するため、間違った解決策のように思えます。これはあまり正しくありません。
いかがでしょうか無効化古い鍵ですか?
無効なキーは通常、暗号化に使用できません。
そのため、ソフトウェア (または自分自身) が誤って古いキーを使用してメッセージを暗号化することはありません。キーはキーリングに残り、それ以外は変更されません。