Tengo algunas claves públicas de varios usuarios en mi conjunto de claves en GnuPG. Uno de estos usuarios ha cambiado a una nueva clave pública. Todavía tengo la clave anterior del usuario que tiene una confianza asignada de ultimate. Acabo de asignar la misma confianza a su nueva clave.
Ya no usa la llave vieja. ¿Qué debo hacer con la llave antigua? ¿Debo retirar el fideicomiso o revocarlo? ¿Cuál es el procedimiento correcto en tal caso?
Respuesta1
En primer lugar,La confianza máxima no debe usarse para las claves de otros, la confianza total es suficiente.. Si emitió la máxima confianza para hacer válida la clave, no entendió bien laconcepto de red de confianza. Si simplemente desea que todas sus certificaciones sean válidas para usted (ampliando así su red de confianza), la confianza total es suficiente, si al mismo tiempo lo certifica a él.
Con respecto a su pregunta real: esto depende un poco de la situación.
- No podrás revocar la clave del otro.¿La ha revocado el dueño de la llave?Si es así, simplemente debería enviarle el certificado de revocación, por ejemplo cargándolo en los servidores de claves, donde podrá recuperarlo nuevamente. Si se revoca la clave, ya no tendrá que preocuparse por la confianza.
- El propietario de la clave ha perdido el control sobre la misma, pero ya no puede revocarla.Por ejemplo, alguien robó el portátil con la única copia de la clave y el propietario no tiene un certificado de revocación (muy mala idea). Ahora te toca a ti arreglar la situación, retirando la confianza y configurándola en "nunca". Considere también hacer lo mismo con su nueva llave, ya que parece haber problemas importantes con el manejo de llaves por parte del propietario. esto no cambiavalidezsi su clave (si la firmó), simplemente garantiza que las certificaciones emitidas por ella no se utilizarán para el cálculo de validez de otros.
El dueño de la llavesimplemente ya no quiere usar la llave, pero aún lo posee y quiere mantener la reputación en la red de confianza que construyó (que probablemente usted también quiera utilizar): simplemente importe su nueva clave y no se preocupe en absoluto por la anterior. Además de cambiar la confianza de "última" a "completa".
Si desea asegurarse de no cifrar accidentalmente su clave anterior, desactívela ejecutando
gpg --edit-key [key-id]y luego usando el comando de GnuPGdisable.
Respuesta2
No puede revocar la clave anterior. Sólo el propietario (quien posee la clave privada) puede hacerlo.
Probablemente no desee eliminar la clave de su conjunto de claves por completo porque aún desea poder verificar las firmas de los correos electrónicos antiguos que fueron firmados por su corresponsal utilizando la clave anterior. Cambiar el nivel de confianza también me parece una solución incorrecta porque implícitamente significa que esas firmas en correos electrónicos antiguos no son tan confiables como antes, lo cual no es realmente correcto.
Qué tal sideshabilitarla vieja llave?
Normalmente, una clave deshabilitada no se puede utilizar para el cifrado.
De modo que su software (o usted mismo) no utilizará accidentalmente la clave anterior para cifrar mensajes. La clave permanece en su llavero; por lo demás, no se modifica.