Kradzież klucza dystrybucyjnego GPG

[Tomasz Kłoczko]

On Sun, 1 Jun 2003, Marek Guevara Braun wrote:

> Tomasz Kłoczko wrote:
> > On Sun, 1 Jun 2003, Marek Guevara Braun wrote:
> >>bodajże opcja --gen-revoke gpg
> >>generuje odwołanie certyfikatu/klucza. Jeżeli uważasz (Tomku), że
> >>klucz nie jest już godny zaufania to powinieneś rozdystrybuować
> >>jego odwołanie.
> > 
> > Klucz nie by ł nigdzie rejestrowany.
> > Nie mam pojecia jak to technicznie wykonać.
> 
> gpg --gen-revoke feedback w pld.org.pl > revocation.asc
> i dalej jak podaje dialog gpg (pare razy potwierdzenie, wybranie powodu
> odwołania komentarza itp) - otrzymujesz certyfikat w pliku
> revocation.asc
> 
> Certyfikat ten musisz rozdystrybuować (mail, www, cokolwiek) - ci który
> go zaimportują, przy próbie weryfikacji otrzymają stosowny komunikat --
> odrzucenie weryfikacji.
> 
> Podobnie jak w przypadku importowania zwykłych kluczy/certyfikatów PGP,
> certyfikat odwołujący musi być explicite zaimportowany z opcją --import.
> Nie jest to automatyczne.
> 
> Efektem ubocznym zaimportowania odwołania certyfikatu dla posiadacza
> klucza prywatnego jest niemożność podpisywania odwołanym certyfikatem.

Nie jest dla mnie jasne to do końca. Czy plik ten powinien być
redystrybowany zamiast pliku z kluczem czy obok ?
Czy można zarejestrować na serwerze kluczy samo revocation.asc ?

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*