Diciamo che firmo la chiave di qualcuno e poi ho deciso che era una cattiva idea - o era una cattiva idea, o avrei dovuto firmarlo con un diverso livello di fiducia. È possibile, sia in modo teorico che pratico, "deselezionare" la chiave di qualcun altro?
Se la firma è ancora conservata localmente (o non inviandola mai a nessuno o ai key server, o anche se ha eseguito un lsign che crea firme che non possono essere caricate), puoi effettivamente cancellarlo eseguendo
gpg --edit-key [keyid]
[select a uid]
delsig
[go through the assistant for deleting signatures]
save
Se una firma era già stata inviata ai server delle chiavi, è ancora possibile eliminarla localmente, ma non sarà possibile rimuovere nulla dai server delle chiavi. L'infrastruttura del server delle chiavi OpenPGP è progettata per non eliminare / dimenticare nulla, per resistere agli attacchi di cancellazione (laddove l'autore dell'attacco desidera rimuovere, ad esempio la tua chiave ).
Invece di cancellare la firma, ora revocala . Questa volta, esegui
gpg --edit-key [keyid]
revsig
[go through the assistant for revoking signatures]
save
Ora devi caricare il certificato di revoca (che dice più o meno "Questo certificato invalida la firma che ho fatto a partire da una certa data per il motivo fornito") ai server chiave eseguendo gpg --send-key [key-id] .
Non appena la revoca viene sincronizzata su tutti i server delle chiavi (alcuni minuti) e gli altri utenti aggiorneranno la chiave [keyid] (tempo sconosciuto, forse piuttosto lungo), la firma revocata non verrà più presa in considerazione durante il calcolo validità ed essere visualizzato come revocato quando si elencano le firme.
Non è possibile annullare l'assegnazione, ma è possibile revocare la firma sulla propria chiave. Una volta che qualcuno ha sincronizzato sia la firma originale che la revoca, la loro interfaccia utente dovrebbe mostrare entrambi e non utilizzerà più la firma nei calcoli di attendibilità. Per fare ciò con GnuPG:
gpg --edit-key KEYID
revsig
<Supply a reason>
gpg --send-key KEYID # Upload key to keyserver, or
gpg --armor --export KEYID # Manual upload to keyserver
Leggi altre domande sui tag pgp web-of-trust