GPG 키가 있습니다. 비밀 키가 있는지 확인하고 해당 내용을 인쇄할 수 있습니다.
$ gpg --list-secret-keys
/home/user/.gnupg/pubring.kbx
------------------------------
sec# rsa2048 2019-07-11 [SC]
9EEBCEAD0915834DFCE24B11A738D3C1E6BFA616
uid [ultimate] My Name <my.email@email>
ssb rsa2048 2019-07-11 [E]
다음을 사용하여 이것을 인쇄할 수 있습니다.
$ gpg --export-secret-keys -a
-----BEGIN PGP PRIVATE KEY BLOCK-----
....
-----END PGP PRIVATE KEY BLOCK-----
그러나 해지 인증서를 생성하려고 하면 다음과 같은 결과가 나타납니다.
$ gpg --gen-revoke 9EEBCEAD0915834DFCE24B11A738D3C1E6BFA616
gpg: secret keys "9EEBCEAD0915834DFCE24B11A738D3C1E6BFA616" not found: No secret key
왜 이런 일이 일어날까요? 확실히 시스템은 해지 인증서를 생성하는 데 사용되는 비밀 키에 액세스할 수 있습니다.
답변1
비밀키가 있는지 확인할 수 있어요
아니, 그렇지 않습니다. 이는 #기본 키의 비공개 부분이 누락되었음을 의미합니다. GnuPG는 일부 항목의 비공개 부분이 있기 때문에 여전히 전체 항목을 표시합니다.하위 키.
각 PGP 키는 실제로 여러 개의 독립적인 RSA/DSA/EdDSA 키 묶음입니다. 키 서명을 위한 하나의 키 쌍 [C]; 때로는 메시지 서명을 위한 별도의 키 쌍 [S]; 메시지 해독을 위한 별도의 키 쌍 [E].
이러한 키 쌍에는 서로 다른 목적이 있고 서로 다른 보안 수준이 필요하기 때문에 일부 사람들은 의도적으로 부분 PGP 키를 신뢰도가 낮은 시스템으로 내보내는 것을 선택합니다. 따라서 누군가 노트북을 훔친 경우 오래된 이메일을 읽을 수는 있지만않을 것이다PGP를 사용하여 귀하를 가장할 수 있습니다.
여기서 귀하의 컴퓨터에는 [SC] 키의 비공개 부분도 누락되어 있습니다. 즉, 수신된 이메일과 파일의 암호를 해독할 수 있지만 전혀 서명할 수는 없습니다. 그리고 자신의 키를 편집하거나 취소하려면 자체 서명이 필요하므로 [C] 개인 키가 없으면 이 작업도 불가능합니다.