O que fazer quando um usuário muda para uma nova chave?

O que fazer quando um usuário muda para uma nova chave?

Tenho algumas chaves públicas de vários usuários em meu chaveiro no GnuPG. Um desses usuários mudou para uma nova chave pública. Ainda tenho a chave antiga do usuário que possui uma confiança atribuída de ultimate. Acabei de atribuir a mesma confiança à sua nova chave.

Ele não usa mais a chave antiga. O que devo fazer com a chave antiga? Devo retirar a confiança ou revogá-la? Qual é o procedimento correto nesse caso?

Responder1

Em primeiro lugar,a confiança final não deve ser usada para as chaves de outras pessoas, a confiança total é suficiente. Se você emitiu confiança final para tornar a própria chave válida, você entendeu mal oconceito de web de confiança. Se você apenas deseja que todas as certificações dele sejam válidas para você (estendendo assim sua rede de confiança), confiança total é suficiente, se você ao mesmo tempo o certificou.

Em relação à sua pergunta real: isso depende um pouco da situação.

  • Você não poderá revogar a chave do outro.O proprietário da chave a revogou?Nesse caso, ele deverá apenas enviar-lhe o certificado de revogação - por exemplo, enviando-o para os servidores principais, onde você poderá recuperá-lo. Se a chave for revogada, você não precisará mais se preocupar com a confiança.
  • O proprietário da chave perdeu o controle sobre a chave, mas não pode mais revogá-la.Por exemplo, alguém roubou o laptop com a única cópia da chave e o proprietário não possui um certificado de revogação (péssima ideia). Agora cabe a você consertar a situação, retirando a confiança e definindo-a como “nunca”. Considere também fazer o mesmo com sua nova chave, pois parece haver grandes problemas com o manuseio da chave pelo proprietário. Isso não mudavalidadese for a chave dele (se você a assinou), apenas garante que as certificações por ele emitidas não serão utilizadas para cálculo de validade de terceiros.
  • O proprietário da chavesó não quer mais usar a chave, mas ainda o possui e deseja manter a reputação na rede de confiança que construiu (da qual você provavelmente também deseja usar): basta importar sua nova chave e não se importar com a antiga. Além de mudar a confiança de “definitiva” para “completa”.

    Se você quiser ter certeza de que não está criptografando acidentalmente sua chave antiga, desative-a executando gpg --edit-key [key-id]e usando o comando do GnuPG disable.

Responder2

Você não pode revogar a chave antiga. Somente o proprietário (quem detém a chave privada) pode fazer isso.

Você provavelmente não deseja remover completamente a chave do seu chaveiro porque ainda deseja verificar assinaturas em e-mails antigos que foram assinados pelo seu correspondente usando a chave antiga. Alterar o nível de confiança também me parece a solução errada porque significa implicitamente que as assinaturas em e-mails antigos não são tão confiáveis ​​como eram antes, o que não é realmente certo.

Que taldesabilitandoa chave antiga?

Uma chave desabilitada normalmente não pode ser usada para criptografia.

Assim, o seu software (ou você mesmo) não usará acidentalmente a chave antiga para criptografar mensagens. A chave permanece no seu chaveiro, caso contrário, inalterada.

informação relacionada