如何撤销旧的 OpenPGP 密钥？

Question

这取决于您是否还拥有私钥。

访问私钥：

您很幸运，能够撤销密钥。这就像运行一样简单gpg --edit-key [key-id]。在编辑菜单中，运行revkey。如果需要，导入撤销证书 ( gpg --import [file])，并将其发送到密钥服务器 ( gpg --send-keys [key-id])。
无法访问私钥：

这非常糟糕，因为您现在不再是密钥所有者，而是“邪恶的攻击者”。

简短回答：你运气不好，无法取出钥匙，他们将永远留下来。

长答案，包含以下观点：
- 将来，我们或许可以在合理的计算时间内暴力破解旧的 RSA 1024 密钥。但不要指望这很快就会发生。一旦量子计算机真正出现，也许会改变这种情况。
- 还有一件事你可以做至少暗示您不再使用这些密钥：OpenPGP 知道所谓的指定撤销，即一个密钥可能被另一个密钥撤销。您可以使用最新的密钥来生成此类撤销，但请注意，这些撤销实际上并不有效（因为旧密钥很可能没有指定您的新密钥作为指定撤销者）。但其他用户可能会观察到这一点并得出自己的结论。最终，这是您能做的最好的事情。

无论如何：你并不孤单，很多人都遇到过这种情况。如果密钥没有任何认证，那么忽略它们还是很安全的，因为任何人都可以以你的名义创建假密钥（甚至密钥 ID）。

GnuPG 2.1 会自动生成撤销证书和新密钥。如果使用的是旧版本，请务必手动生成一个证书，同时还要确保保存此证书的备份：我建议创建一个二维码（qrencode这很有用）并将其打印在一张纸上，您也可以将其交给可信赖的人（唯一可能发生的情况是此人恶意撤销您的密钥，但无法获得进一步的访问权限）。

Answer 1

这取决于您是否还拥有私钥。

访问私钥：

您很幸运，能够撤销密钥。这就像运行一样简单gpg --edit-key [key-id]。在编辑菜单中，运行revkey。如果需要，导入撤销证书 ( gpg --import [file])，并将其发送到密钥服务器 ( gpg --send-keys [key-id])。
无法访问私钥：

这非常糟糕，因为您现在不再是密钥所有者，而是“邪恶的攻击者”。

简短回答：你运气不好，无法取出钥匙，他们将永远留下来。

长答案，包含以下观点：
- 将来，我们或许可以在合理的计算时间内暴力破解旧的 RSA 1024 密钥。但不要指望这很快就会发生。一旦量子计算机真正出现，也许会改变这种情况。
- 还有一件事你可以做至少暗示您不再使用这些密钥：OpenPGP 知道所谓的指定撤销，即一个密钥可能被另一个密钥撤销。您可以使用最新的密钥来生成此类撤销，但请注意，这些撤销实际上并不有效（因为旧密钥很可能没有指定您的新密钥作为指定撤销者）。但其他用户可能会观察到这一点并得出自己的结论。最终，这是您能做的最好的事情。

无论如何：你并不孤单，很多人都遇到过这种情况。如果密钥没有任何认证，那么忽略它们还是很安全的，因为任何人都可以以你的名义创建假密钥（甚至密钥 ID）。

GnuPG 2.1 会自动生成撤销证书和新密钥。如果使用的是旧版本，请务必手动生成一个证书，同时还要确保保存此证书的备份：我建议创建一个二维码（qrencode这很有用）并将其打印在一张纸上，您也可以将其交给可信赖的人（唯一可能发生的情况是此人恶意撤销您的密钥，但无法获得进一步的访问权限）。

相关内容