Tengo una clave GPG, puedo verificar que tengo la clave secreta e imprimir su contenido:
$ gpg --list-secret-keys
/home/user/.gnupg/pubring.kbx
------------------------------
sec# rsa2048 2019-07-11 [SC]
9EEBCEAD0915834DFCE24B11A738D3C1E6BFA616
uid [ultimate] My Name <my.email@email>
ssb rsa2048 2019-07-11 [E]
Puedo imprimir esto usando
$ gpg --export-secret-keys -a
-----BEGIN PGP PRIVATE KEY BLOCK-----
....
-----END PGP PRIVATE KEY BLOCK-----
Sin embargo, cuando intento crear un certificado de revocación, aparece:
$ gpg --gen-revoke 9EEBCEAD0915834DFCE24B11A738D3C1E6BFA616
gpg: secret keys "9EEBCEAD0915834DFCE24B11A738D3C1E6BFA616" not found: No secret key
¿Por qué estaría pasando esto? Seguramente el sistema tiene acceso a una clave secreta, con la que generar el certificado de revocación.
Respuesta1
Puedo verificar que tengo la clave secreta
No, no lo haces. Esto #significa que falta la parte privada de la clave principal. GnuPG todavía muestra la entrada completa sólo porque tienes partes privadas de algunassubclaves.
Cada clave PGP es en realidad un conjunto de varias claves RSA/DSA/EdDSA independientes: un par de claves para firmar claves [C]; a veces un par de claves separado para firmar mensajes [S]; y siempre un par de claves separado para descifrar mensajes [E].
Debido a que estos pares de claves tienen diferentes propósitos y requieren diferentes niveles de seguridad, algunas personas optan por exportar deliberadamente una clave PGP parcial a máquinas menos confiables, de modo que si alguien robara una computadora portátil, podría leer el correo electrónico antiguo, perono lo haríapoder hacerse pasar por usted utilizando PGP.
Aquí a su máquina también le falta la parte privada de la clave [SC], lo que significa que puede descifrar el correo electrónico y los archivos recibidos, pero no puede firmar nada en absoluto. Y debido a que editar o revocar su propia clave requiere firmarla consigo mismo, eso también resulta imposible sin la clave privada [C].