Kradzież klucza dystrybucyjnego GPG
Marek Guevara Braun
mguevara w acn.waw.pl
Nie, 1 Cze 2003, 01:33:02 CEST
Tomasz Kłoczko wrote:
> On Sun, 1 Jun 2003, Marek Guevara Braun wrote:
>>bodajże opcja --gen-revoke gpg
>>generuje odwołanie certyfikatu/klucza. Jeżeli uważasz (Tomku), że
>>klucz nie jest już godny zaufania to powinieneś rozdystrybuować
>>jego odwołanie.
>
> Klucz nie by ł nigdzie rejestrowany.
> Nie mam pojecia jak to technicznie wykonać.
gpg --gen-revoke feedback w pld.org.pl > revocation.asc
i dalej jak podaje dialog gpg (pare razy potwierdzenie, wybranie powodu
odwołania komentarza itp) - otrzymujesz certyfikat w pliku
revocation.asc
Certyfikat ten musisz rozdystrybuować (mail, www, cokolwiek) - ci który
go zaimportują, przy próbie weryfikacji otrzymają stosowny komunikat --
odrzucenie weryfikacji.
Podobnie jak w przypadku importowania zwykłych kluczy/certyfikatów PGP,
certyfikat odwołujący musi być explicite zaimportowany z opcją --import.
Nie jest to automatyczne.
Efektem ubocznym zaimportowania odwołania certyfikatu dla posiadacza
klucza prywatnego jest niemożność podpisywania odwołanym certyfikatem.
--
mguevara
Więcej informacji o liście dyskusyjnej pld-devel-pl