Un modo per revocare la vecchia coppia di chiavi?

Se non hai creato la coppia di chiavi e non hai mai avuto la chiave privata, non è la tua chiave; è un falso creato da una terza parte. Chiunque può creare una chiave OpenPGP sotto il nome di chiunque senza il suo consenso e caricarla sui server delle chiavi pubblici. Il fatto che ciò sia stato fatto dal tuo ex datore di lavoro è irrilevante (a meno che non significhi che puoi contattarli e chiedere loro gentilmente di revocare la chiave).

La vera soluzione a questo problema è la web of trust : la tua chiave originale dovrebbe essere verificata direttamente dai tuoi contatti e / o firmata da altri di cui si fidano (e le cui chiavi hanno verificato). Se i tuoi contatti non lo capiscono, le tue comunicazioni private con loro sono già condotte, in quanto saranno facilmente ingannati quando un malintenzionato man-in-the-middle fornisce loro una chiave falsa.

L'unico exploit che riesco a trovare su 1024 DSA è un attacco di sniffing del traffico tramite un pRNG imperfetto, ed è un po 'irragionevole.

(Se riesci a decifrare PGP, lascia sapere a tutti noi che possiamo correre con i nostri capelli in fiamme: P)

Ecco alcuni modi per contrassegnare questo tasto come non valido. Tuttavia, a meno che tu non riesca a mettere le mani su un certificato di revoca, quelle chiavi sono gettate nel vuoto.

link