Como revogar chaves antigas do OpenPGP?

4

Eu tenho sido tola ao longo dos anos e criei algumas chaves OpenPGP por várias razões (principalmente auto-aprendizagem) e nunca revoguei nenhuma delas ou alterei-as antes de reinstalar ou fazer qualquer outra coisa.

De qualquer forma eu queria saber se havia uma maneira de corrigir meus erros, eu tenho uma lista de todas as chaves anteriores que eu usei no servidor de chaves do Ubuntu e queria saber se havia uma maneira de reimportá-las e revogá-las ou eles são uma causa perdida.

Desde então, aprendi meus erros e obedeço a uma política rígida de backup / revogação agora.

    
por kenny727 17.03.2015 / 05:45

1 resposta

4

Depende se você ainda tem a chave privada ou não.

  • Ter acesso à chave privada:

    Você tem sorte e poderá revogar a chave. É tão fácil quanto executar gpg --edit-key [key-id] . Dentro do menu de edição, execute revkey . Importe o certificado de revogação, se necessário ( gpg --import [file] ), e envie-o para os servidores de chaves ( gpg --send-keys [key-id] ).

  • Não tendo acesso à chave privada:

    Isso é muito ruim, já que você não é mais o dono da chave, mas um "atacante malvado".

    Resposta curta: Você está sem sorte e não poderá remover as chaves, eles ficarão para sempre .

    Resposta longa, com alguma perspectiva:

    • Em tempos futuros, pode ser possível forçar a força bruta de chaves antigas do RSA 1024 em uma quantidade razoável de tempo de computação. Mas não espere que isso aconteça em breve. Computadores quânticos podem mudar essa situação, uma vez que eles realmente cheguem.
    • Há outra coisa que você pode fazer para, pelo menos, sugerir que você não está mais usando essas chaves: o OpenPGP conhece as chamadas revogações designadas, em que uma chave pode ser revogada por outra. Você poderia usar sua mais nova chave para gerar essas revogações, mas esteja ciente de que elas não serão realmente válidas (já que as chaves antigas provavelmente não especificaram sua nova como revogadora designada). Mas outros usuários podem observar isso e tirar suas próprias conclusões. No final, é a melhor coisa que você pode fazer.

De qualquer forma: você não está sozinho, isso acontece com muitas pessoas. Se as chaves não tiverem nenhuma certificação, é seguro ignorá-las de qualquer maneira, pois qualquer pessoa poderia ter criado chaves falsas para o seu nome ( e até mesmo ID de chave ).

O GnuPG 2.1 gera automaticamente certificados de revogação junto com novas chaves. Certifique-se de gerar um manualmente, se estiver usando uma versão mais antiga, e também certifique-se de ter um backup salvo deste certificado: Eu recomendo criar um código QR ( qrencode é útil aqui) e imprimi-lo em um pedaço de papel que você também entregue a uma pessoa de confiança (a única coisa que pode acontecer é que essa pessoa reverta sua chave maliciosamente, mas não consegue mais acesso).

    
por Jens Erat 17.03.2015 / 10:16

Tags