Supponiamo che stiamo parlando di chiavi PGP / GPG e che hai caricato la tua chiave pubblica per l'accesso a uno dei principali server di chiavi PGP / GPG.
Se sei curioso su come revocare un certificato, ecco una Guida alla revoca Certificati PGP / GPG.
Con questi presupposti in mente:
Will all things I have signed in the past with those subkeys be
considered "invalid"?
Sì. Finché il software sta controllando i certificati di revoca, qualsiasi cosa firmata in passato sarà considerata firmata con un certificato revocato. Non impedisce a nessuno di visualizzare un documento o di leggere un'email. È ora a discrezione dell'utente affidarsi o meno alle informazioni.
Will the person who stole my keys be able to sign whatever he wants,
assuming the person doing the validating hasn't updated their keyring
in a while and doesn't know that the old signing keypair has been
revoked?
Se l'utente malintenzionato ha la tua chiave privata, può firmare i dati come se fossero da te. Una volta che il certificato è stato contrassegnato come revocato nel server delle chiavi, qualsiasi segno di attaccante comparirà come firmato da un certificato revocato. Ancora una volta, spetta all'utente verificare i dati e decidere se fidarsi o meno.
Are there other dangers resulting from compromised signing keys that I
need to be aware of?
Le chiavi di firma possono essere utilizzate per l'identificazione / verifica dell'utente. Supponiamo che la tua azienda utilizzi le tue chiavi di firma per identificarti sulla loro rete e ti fornisca un accesso privilegiato. I certificati compromessi che non vengono revocati possono ora entrare nella rete della tua azienda e ottenere l'accesso come te.
Tutto ciò dipende dal software utilizzato per la verifica che controlla effettivamente se un certificato è stato revocato e utilizzando un server delle chiavi. Ci sono varie opinioni di questo modo o dell'altro.
Adam Langley ha scritto un interessante articolo sul controllo di revoca .