我需要撤销我的 OpenPGP 主键和子键吗?

信息安全 pgp gnupg
2021-09-08 22:15:29

在 GnuPG 中创建 OpenPGP 密钥对后,如果我用 列出密钥gpg --list-keys,我会得到(GnuPG 默认):

/someone/.gnupg/pubring.gpg
------------------------
pub   2048R/BC589B05 2015-07-15
uid                  Some One
sub   2048R/3dd81C42 2015-07-15

由 ID 为 BC589B05 的主公钥和 ID 为 3dd81C42 的子密钥组成。

是否有必要为每一个创建吊销证书,还是只创建 pub 密钥?特别是,仅仅做就足够了吗?

gpg --gen-revoke BC589B05 > BC589B05.revoke.asc

并在某处备份BC589B05.revoke.asc,还是我也应该为子键重复此操作?

1个回答

撤销主键就足够了。OpenPGP 客户端将拒绝使用已撤销主键的子键。撤销主键和子键是不同的:主键撤销是包含撤销信息的特殊自证明(自签名),而子键撤销是由其所属的主键签发的。

使用 GnuPG,无论如何都不可能为子密钥生成撤销证书。来自man gpg

--gen-revoke name

   Generate a revocation certificate for the complete key. To revoke a
   subkey or a signature, use the --edit command.
其它你可能感兴趣的问题
上一篇提高 client_max_body_size nginx 有什么安全风险吗? 下一篇各种 TLS 版本的开发是什么时候开始的?