Como deve ser usado o comando '--desig-revoke' do GnuPG?

Delegar revogações

How should the GnuPG command --desig-revoke be used?

O comando --desig-revoke adiciona um tipo especial de assinatura à sua chave pública, que permite que outra chave (que você especifica) crie certificados de revogação para sua chave em uma data posterior. A execução do comando não cria realmente um certificado de revogação, apenas permite publicamente que outros o façam. Considere-o como uma delegação de revogação.

A execução de gpg --edit-key , seguida de addrevoker faz exatamente a mesma coisa, mas de dentro do menu de edição de chave.

Casos de Uso

... and in which cases should you use it?

Isso pode ser especialmente útil para organizações maiores, onde a revogação central de chaves de funcionários pode ser útil.

Também posso imaginar que, ao usar chaves compartilhadas, onde apenas vários usuários juntos possam usar a chave (para que a chave secreta seja distribuída) pode querer usar essa opção, para que cada usuário possa revogar a chave individualmente. Imagine uma situação em que um dos integrantes do grupo morreu, ou eles se antagonizaram.

Um terceiro caso de uso seria dar a um amigo de confiança a capacidade de revogar sua chave, semelhante a entregar um certificado de revogação impresso para o armazenamento dele.

Chaves de revogação são padronizadas

Is this ability to allow someone else to revoke your PGP key GnuPG-specific, or is it part of the OpenPGP standard?

A especificação de chaves de revogação é definida por OpenPGP, RFC 4880 , por isso não é específico GnuPG.

No caso de pessoas (como eu) ficarem confusas, houve alguns esclarecimentos adicionais fornecidos em " Como gerar o certificado de revogação depois de ser feito um revoker com o GnuPG ". O --edit-key / addrevoker é usado para conceder permissão a alguém para gerar o certificado de revogação; que alguém use --desig-revoke para realmente gerar o certificado.