У меня есть несколько открытых ключей нескольких пользователей в моей связке ключей в GnuPG. Один из этих пользователей переключился на новый открытый ключ. У меня все еще есть старый ключ пользователя, которому назначено доверие ultimate
. Я только что назначил то же доверие его новому ключу.
Он больше не использует старый ключ. Что мне делать со старым ключом? Должен ли я отозвать доверие или отозвать его? Какова правильная процедура в таком случае?
решение1
Прежде всего,Полное доверие не следует использовать для чужих ключей, достаточно полного доверия. Если вы выдали окончательное доверие, чтобы сделать сам ключ действительным, вы неправильно поняликонцепция сети доверия. Если вы просто хотите, чтобы все его сертификаты были действительны для вас (тем самым расширяя вашу сеть доверия), достаточно полного доверия, если вы в то же время сертифицируете его.
Что касается вашего вопроса: это немного зависит от ситуации.
- Вы не сможете отозвать чужой ключ.Владелец ключа отозвал его?Если так, он должен просто отправить вам сертификат отзыва — например, загрузив его на серверы ключей, где вы сможете получить его снова. Если ключ отозван, вам в любом случае больше не нужно беспокоиться о доверии.
- Владелец ключа утратил контроль над ключом, но больше не может его отозвать.Например, кто-то украл ноутбук с единственной копией ключа, а у владельца нет сертификата отзыва (очень плохая идея). Теперь вам нужно исправить ситуацию, отозвав доверие и установив его на «никогда». Также рассмотрите возможность сделать то же самое с его новым ключом, так как, похоже, есть серьезные проблемы с обработкой ключа владельцем. Это не изменитпериод действияесли его ключ (если вы его подписали), он просто гарантирует, что выданные им сертификаты не будут использоваться для расчета действительности других.
Владелец ключапросто больше не хочет пользоваться ключом, но все еще владеет им и хочет сохранить репутацию в созданной им сети доверия (которую вы, вероятно, также захотите использовать): Просто импортируйте его новый ключ и вообще не беспокойтесь о старом. За исключением изменения доверия с «ultimate» на «full».
Если вы хотите быть уверены, что вы случайно не используете его старый ключ, отключите его, запустив
gpg --edit-key [key-id]
, а затем используя команду GnuPGdisable
.
решение2
Вы не можете отозвать старый ключ. Это может сделать только владелец (тот, у кого есть закрытый ключ).
Вы, вероятно, не хотите полностью удалять ключ из своей связки ключей, потому что вы все еще хотите иметь возможность проверять подписи на старых письмах, которые были подписаны вашим корреспондентом с использованием старого ключа. Изменение уровня доверия также кажется мне неправильным решением, потому что это неявно означает, что эти подписи на старых письмах не так надежны, как когда-то, что на самом деле не совсем правильно.
Как насчетотключениестарый ключ?
Отключенный ключ обычно не может использоваться для шифрования.
Так что ваше программное обеспечение (или вы сами) не будут случайно использовать старый ключ для шифрования сообщений. Ключ остается в вашей связке ключей, в остальном неизменен.