O que fazer quando um usuário muda para uma nova chave?

Navegue suas respostas
6

Eu tenho algumas chaves públicas de vários usuários no meu chaveiro no GnuPG. Um desses usuários mudou para uma nova chave pública. Ainda tenho a chave antiga do usuário, que tem uma confiança atribuída de ultimate . Acabei de atribuir a mesma confiança à sua nova chave.

Ele não usa mais a chave antiga. O que devo fazer com a chave antiga? Devo retirar a confiança ou revogá-la? Qual é o procedimento correto em tal caso?

    
por lord.garbage 08.10.2014 / 15:03

2 respostas

6

Primeiro de tudo, confiança final não deve ser usado para outras chaves, a confiança total é suficiente . Se você emitiu confiança máxima para tornar a chave válida, você não compreendeu a teia do conceito de confiança . Se você quisesse que todas as suas certificações fossem válidas para você (assim, estender sua teia de confiança), a confiança total é suficiente, se você ao mesmo tempo o certificasse.

Com relação à sua pergunta real: isso depende um pouco da situação.

  • Você não poderá revogar a chave do outro. O dono da chave o revogou? Em caso afirmativo, ele deve enviar-lhe apenas o certificado de revogação - por exemplo, fazendo o upload para os servidores de chaves, onde é possível recuperá-lo novamente. Se a chave for revogada, você não precisa mais se preocupar com confiança.
  • O proprietário da chave perdeu o controle da chave, mas não pode mais revogá-la. Por exemplo, alguém roubou o laptop com a única cópia da chave e o proprietário não possui um certificado de revogação ( muito má ideia). Agora é para você consertar a situação, retirando a confiança e definindo-a para "nunca". Considere também fazer o mesmo com a nova chave, pois parece haver grandes problemas com o manuseio das chaves do proprietário. Isso não muda validade se a chave dele (se você a tiver assinado), apenas garante que as certificações emitidas por ele não sejam usadas para o cálculo de validade de outras.

  • O dono da chave simplesmente não quer mais usar a chave , mas ainda é dono dela e quer manter a reputação na rede de confiança que ele constrói (o que você provavelmente também quer fazer uso de): Apenas importe sua nova chave, e não se preocupe com a antiga. Além de mudar a confiança de "ultimate" para "full".

    Se você quiser ter certeza de que não está criptografando acidentalmente a chave antiga, desative-o executando gpg --edit-key [key-id] e, em seguida, usando o comando disable do GnuPG.

por 08.10.2014 / 16:04
1

Você não pode revogar a chave antiga. Somente o proprietário (quem detém a chave privada) pode fazer isso.

Você provavelmente não deseja remover completamente a chave do seu chaveiro porque ainda deseja verificar assinaturas em e-mails antigos que foram assinados por seu correspondente usando a chave antiga. Alterar o nível de confiança também me parece a solução errada, porque implicitamente significa que essas assinaturas em e-mails antigos não são tão confiáveis como eram antes, o que não é realmente correto.

Que tal desativar a chave antiga?

A disabled key can not normally be used for encryption.

Assim, o seu software (ou você mesmo) não usará acidentalmente a chave antiga para criptografar as mensagens. A chave permanece no seu chaveiro, caso contrário inalterada.

    
por 08.10.2014 / 15:48

Tags

Não é possível criar um flash USB inicializável (ao vivo) para arch linux redirecionando a saída da execução da tarefa em segundo plano no bash