我有一个 10 年前的 GnuPG 密钥,是 1024 位 DSA。我很少用它签署电子邮件,但我经常使用它很多用于加密文件。
我想(我假设)撤销此密钥并创建一个新的 4096 位或 8192 位 RSA 密钥。但是,我需要确保不会丢失当前使用旧密钥加密的任何文件。我推测这意味着我仍然会保留旧私钥的副本,该副本以某种方式标记为“已撤销”,因此不会用于任何新用途,以及一个具有相同全名和电子邮件地址的新私钥,将来将默认使用该新私钥加密文件。
这是一个安全、标准且受支持的计划吗?在大胆向前迈进之前,我还需要知道什么吗(除了“有几个好的备份”)?
答案1
撤销并不妨碍你使用它进行解密,但除非强制使用,否则将禁用它进行签名。这同样适用于其他想要为您加密文件的人。撤销不会在任何意义上破坏私钥,而只是添加一个撤销签名(密钥的一种注释)以不再使用它,包括添加的原因(例如密钥被取代)。
在撤销您的密钥之前,请考虑为您新创建的密钥添加一个签名,作为对其他与您交换密钥的人的提示。