Se firmo la chiave di qualcun altro e poi decido che è stata una cattiva idea, è possibile annullare la firma?

34

Diciamo che firmo la chiave di qualcuno e poi ho deciso che era una cattiva idea - o era una cattiva idea, o avrei dovuto firmarlo con un diverso livello di fiducia. È possibile, sia in modo teorico che pratico, "deselezionare" la chiave di qualcun altro?

    
posta Jason 23.07.2014 - 07:00
fonte

2 risposte

37

Rimozione di una firma solo locale

Se la firma è ancora conservata localmente (o non inviandola mai a nessuno o ai key server, o anche se ha eseguito un lsign che crea firme che non possono essere caricate), puoi effettivamente cancellarlo eseguendo

gpg --edit-key [keyid]
[select a uid]
delsig
[go through the assistant for deleting signatures]
save

Revoca delle firme pubblicate

Se una firma era già stata inviata ai server delle chiavi, è ancora possibile eliminarla localmente, ma non sarà possibile rimuovere nulla dai server delle chiavi. L'infrastruttura del server delle chiavi OpenPGP è progettata per non eliminare / dimenticare nulla, per resistere agli attacchi di cancellazione (laddove l'autore dell'attacco desidera rimuovere, ad esempio la tua chiave ).

Invece di cancellare la firma, ora revocala . Questa volta, esegui

gpg --edit-key [keyid]
revsig
[go through the assistant for revoking signatures]
save

Ora devi caricare il certificato di revoca (che dice più o meno "Questo certificato invalida la firma che ho fatto a partire da una certa data per il motivo fornito") ai server chiave eseguendo gpg --send-key [key-id] .

Non appena la revoca viene sincronizzata su tutti i server delle chiavi (alcuni minuti) e gli altri utenti aggiorneranno la chiave [keyid] (tempo sconosciuto, forse piuttosto lungo), la firma revocata non verrà più presa in considerazione durante il calcolo validità ed essere visualizzato come revocato quando si elencano le firme.

    
risposta data 23.07.2014 - 09:21
fonte
11

Non è possibile annullare l'assegnazione, ma è possibile revocare la firma sulla propria chiave. Una volta che qualcuno ha sincronizzato sia la firma originale che la revoca, la loro interfaccia utente dovrebbe mostrare entrambi e non utilizzerà più la firma nei calcoli di attendibilità. Per fare ciò con GnuPG:

gpg --edit-key KEYID
revsig
<Supply a reason>
gpg --send-key KEYID  # Upload key to keyserver, or
gpg --armor --export KEYID  # Manual upload to keyserver
    
risposta data 23.07.2014 - 07:12
fonte

Leggi altre domande sui tag