GnuPG 命令应该如何--desig-revoke
使用,以及在什么情况下应该使用它?根据手册:
--desig-revoke姓名
为密钥生成指定的撤销证书。这允许用户(在密钥持有者的许可下)撤销其他人的密钥。
并且有一个相关操作--edit-key
:
添加撤销者
为密钥添加指定撤销者。这需要一个可选参数:“敏感”。如果指定撤销者被标记为敏感,则默认情况下不会将其导出(请参阅导出选项)。
其次,这种允许其他人撤销您的 PGP 密钥的功能是 GnuPG 特有的,还是 OpenPGP 标准的一部分?
答案1
委托撤销
GnuPG 命令该如何
--desig-revoke
使用?
该命令--desig-revoke
会向您的公钥添加一种特殊类型的签名,允许另一个密钥(您指定的密钥)在以后为您的密钥创建撤销证书。运行该命令实际上不会创建撤销证书,它只是公开允许其他人这样做。将其视为撤销委托。
运行gpg --edit-key
,然后addrevoker
执行完全相同的操作,但是在键编辑菜单中。
用例
... 什么情况下应该使用它?
对于较大的组织来说,这尤其有用,因为集中撤销员工密钥可能会很有用。
我还可以想象,当使用共享密钥时,只有多个用户才能一起使用密钥(因此密钥是分布式的),可能需要使用此选项,以便每个用户都可以单独撤销密钥。想象一下,如果其中一人死亡,或者他们发生冲突。
第三个用例是授予您信任的朋友撤销密钥的权限,类似于将打印的撤销证书交给他存储。
撤销密钥已标准化
这种允许其他人撤销您的 PGP 密钥的功能是 GnuPG 特有的,还是 OpenPGP 标准的一部分?
指定撤销密钥由以下方式定义OpenPGP,RFC 4880,因此它不是 GnuPG 所特有的。
答案2
如果人们(比如我)感到困惑,可以在“使用 GnuPG 撤销证书后如何生成撤销证书“。/用于授予其他人生成撤销证书的权限;其他人使用该权限--edit-key
来实际生成证书。addrevoker
--desig-revoke