Il certificato di revoca PGP è sensibile?

Che cos'è un certificato di revoca

Il peggiore dei casi in cui si perde l'accesso a una chiave OpenPGP è che probabilmente è pubblicato sui server delle chiavi, e non si ha alcuna possibilità di contrassegnarlo come non valido più, resterà lì per sempre, dicendo a tutti "hey, questa è la mia chiave , usalo ".

Un certificato di revoca ti consente di revocare la tua chiave OpenPGP se hai perso l'accesso alla tua chiave privata pubblicandola sui server delle chiavi.

Besides revoking the key, is there anything else it can be (ab)used for? Can I just ensure it's reliably stored but not worry about it's confidentiality?

Chiunque abbia accesso ad esso, può revocare la tua chiave OpenPGP. Questo non può essere annullato una volta pubblicato. Utilizzando il certificato di revoca, non è possibile ottenere ulteriori accessi: non include la chiave privata.

If I had to guess a revocation certificate is "I declare revoked LET IT BE KNOWN! - Signed by " but I'd really like to know.

Alla fine, è esattamente quello che è. Un certificato di revoca è un tipo speciale di firma sulla tua chiave OpenPGP con alcuni bit "revoca" impostati.

Come creare un certificato di revoca

Un certificato di revoca può essere creato utilizzando gpg --gen-revoke . Da man gpg :

   --gen-revoke name
          Generate a revocation certificate for the complete key.  To
          revoke a subkey or a signature, use the --edit command.

Raccomando di riporlo sia digitalmente in un posto sicuro, ma anche di stamparlo ( qrencode per codificare il certificato di revoca corazzato ASCII può fare un ottimo lavoro qui se non vuoi usare OCR) e depositarlo con qualcuno che conosci molto bene e fidati.

Ricorda, anche se rompi con quella persona, tutto ciò che può fare è revocare la tua chiave, non accedervi. Come puoi aggiungere una descrizione, puoi anche sapere quale certificato è stato utilizzato per revocare la tua chiave e far sapere alla persona che lo dissuaderà.