Ich habe einige öffentliche Schlüssel mehrerer Benutzer in meinem Schlüsselbund in GnuPG. Einer dieser Benutzer ist zu einem neuen öffentlichen Schlüssel gewechselt. Ich habe immer noch den alten Schlüssel des Benutzers, dem ein Vertrauenswert von zugewiesen ist ultimate
. Ich habe seinem neuen Schlüssel einfach denselben Vertrauenswert zugewiesen.
Den alten Schlüssel verwendet er nicht mehr. Was soll ich nun mit dem alten Schlüssel machen? Soll ich das Vertrauen entziehen oder widerrufen? Wie ist in einem solchen Fall das richtige Vorgehen?
Antwort1
Erstens,Das absolute Vertrauen sollte nicht für die Schlüssel anderer verwendet werden, volles Vertrauen reicht ausWenn Sie absolutes Vertrauen ausgaben, um den Schlüssel selbst gültig zu machen, haben Sie dieWeb-of-Trust-KonzeptWenn Sie nur möchten, dass alle seine Zertifizierungen für Sie gültig sind (und so Ihr Vertrauensnetz erweitern), reicht volles Vertrauen aus, wenn Sie ihn gleichzeitig zertifizieren.
Zu deiner eigentlichen Frage: das hängt ein wenig von der Situation ab.
- Den Schlüssel des anderen können Sie nicht widerrufen.Hat der Besitzer den Schlüssel widerrufen?Wenn ja, sollte er Ihnen einfach das Widerrufszertifikat zusenden – zum Beispiel indem er es auf die Schlüsselserver hochlädt, wo Sie es wieder abrufen können. Wenn der Schlüssel widerrufen wird, müssen Sie sich ohnehin keine Gedanken mehr über Vertrauen machen.
- Der Schlüsselbesitzer hat die Kontrolle über den Schlüssel verloren, kann diesen aber nicht mehr widerrufen.Beispiel: Jemand hat den Laptop mit der einzigen Kopie des Schlüssels gestohlen und der Besitzer hat kein Widerrufszertifikat (sehr schlechte Idee). Jetzt liegt es an Ihnen, die Situation zu beheben, indem Sie das Vertrauen zurückziehen und es auf „nie“ setzen. Erwägen Sie auch, dasselbe mit seinem neuen Schlüssel zu tun, da es große Probleme mit der Schlüsselhandhabung des Besitzers zu geben scheint. Dies ändert nichtsGültigkeitSein Schlüssel (sofern Sie ihn signiert haben) stellt lediglich sicher, dass von ihm ausgestellte Zertifikate nicht zur Berechnung der Gültigkeit anderer verwendet werden.
Der Schlüsselbesitzerwill den Schlüssel einfach nicht mehr benutzen, aber er besitzt ihn immer noch und möchte seinen Ruf im Vertrauensnetz, das er aufgebaut hat, bewahren (und das Sie wahrscheinlich auch nutzen möchten): Importieren Sie einfach seinen neuen Schlüssel und kümmern Sie sich überhaupt nicht um den alten. Abgesehen davon, dass Sie das Vertrauen von „ultimativ“ auf „vollständig“ ändern.
Wenn Sie sicherstellen möchten, dass Sie nicht versehentlich mit seinem alten Schlüssel verschlüsseln, deaktivieren Sie ihn
gpg --edit-key [key-id]
, indem Sie und dann den GnuPG-disable
Befehl ausführen.
Antwort2
Den alten Schlüssel können Sie nicht widerrufen. Das kann nur der Besitzer (der den privaten Schlüssel besitzt).
Sie möchten den Schlüssel wahrscheinlich nicht ganz aus Ihrem Schlüsselbund entfernen, da Sie weiterhin Signaturen in alten E-Mails überprüfen möchten, die von Ihrem Korrespondenten mit dem alten Schlüssel signiert wurden. Das Ändern der Vertrauensstufe scheint mir auch die falsche Lösung zu sein, da dies implizit bedeutet, dass diese Signaturen in alten E-Mails nicht mehr so vertrauenswürdig sind wie früher, was nicht wirklich richtig ist.
Wie wäre es mitDeaktivierender alte Schlüssel?
Ein deaktivierter Schlüssel kann im Normalfall nicht zur Verschlüsselung verwendet werden.
So kann es nicht passieren, dass Ihre Software (oder Sie selbst) versehentlich den alten Schlüssel zum Verschlüsseln von Nachrichten verwendet. Der Schlüssel bleibt in Ihrem Schlüsselbund und bleibt ansonsten unverändert.