Бакі Keysigning

Copyright (C) 2000-2008 В. Алекс Тленнае (VAB).

Гэты дакумент з'яўляецца сапраўдным змешчаны ў грамадскую ўласнасць.

Гэты дакумент жыве ў http://cryptnet.net/fdp/crypto/keysigning_party/en/keysigning_party.html (DocBook XML)

Гэты дакумент у цяперашні час даступны толькі на наступных мовах:

Калі Вы ведаеце аб перакладзе ці хацеў бы перавесці яго на іншую мову, калі ласка, дайце мне ведаць, каб я мог распаўсюджваць або спасылкі на перакладзеныя версіі.

Ключавым удзельнікам падпісанне зборышча людзей, якія выкарыстоўваюць сістэмы шыфравання PGP з мэтай вырашэння гэтых людзей падпісаць адзін аднаго ключоў. Бакі Ключавыя падпісання служыць пашырыць сетку даверу ў значнай ступені. Ключавыя бакі падпісалі таксама служыць вялікія магчымасці для абмеркавання палітычных і сацыяльных пытанняў, звязаных з моцнай крыптаграфіі, свабоды асобы, індывідуальнага суверэнітэту, і нават ўкараненне тэхналогіі шыфравання або, магчыма, будучай працы на свабоднае праграмнае забеспячэнне шыфравання.

Ключавыя падпісанне акта лічбавай подпісы адкрытага ключа пакета і ідэнтыфікатар карыстальніка пакет, які прыкладаецца да ключавым у тым, што адкрыты ключ пакета. Ключавыя падпісання робіцца, каб пераканацца, што дадзены карыстальнік ID і адкрыты ключ сапраўды належаць асобы, якое з'яўляецца на валоданне ключ. У больш асноўныя тэрміны гэта робіцца, каб праверыць, што паданне асобы ў ідэнтыфікатар карыстальніка пакета сапраўдная. Як правіла, гэта азначае, што імя на ключ PGP супадае з імем па ідэнтыфікацыі чалавека ўяўляе для вас, пытаючыся, што вы падпісваеце іх ключавых.

Тэрмін "адкрыты ключ" мае два значэння ў PGP тэрміналогіі. Гэта можа тычыцца як фактычнае шыфраванне з адкрытым ключом з пары ключоў, ці ён можа спаслацца на шыфраваныя з адкрытым ключом з пары ключоў, і збор спадарожнага подпісы зроблены на гэты ключ, а таксама любыя падраздзелы шыфравання самозаверяющий з адкрытым ключом. Каб пазбегнуць блытаніны ў гэтым дакуменце, я буду выкарыстоўваць тэрмін "адкрыты ключ" пры звароце да ключавым, подпісы і падраздзелаў. Я буду выкарыстоўваць тэрмін "публічны ключ пакета", калі гаворка ідзе шыфраванне з адкрытым ключом з пары ключоў.

Вы можаце выкарыстоўваць лічбавую подпіс уласны публічны ключ пакета і любыя звязаныя з ID ў тым, што адкрыты ключ, або адкрыты ключ пакет іншай арганізацыі і звязаныя з імі ідэнтыфікатараў карыстальнікаў. Я подпісаў прадухілення праціўнікаў з даданнем падробленыя шыфравання або ключоў подпісы на ваш адкрыты ключ матэрыялу ў той час як яна захоўваецца ў дзяржаўнай або падчас яго перадачы. Калі праціўнік змаглі дадаць падробленыя шыфравання або ключа подпісы, яны могуць дадаць публічны ключ пакет на якую толькі ён валодае закрытым ключом. Гэта можа прывесці чалавека, які хоча мець зносіны з вамі ў таямніцы ненаўмысна перадачы іх сувязі з чалавекам, які па шчаслівай выпадковасці змяненне ваш адкрыты ключ у шляху. Па змаўчанні GnuPG і большасць іншых ажыццяўлення OpenPGP стандарт аўтаматычна выконваць самастойна подпісы на ўсіх карыстацкіх пакетаў ID ствараецца для адкрытага ключа.

У сэнсе, ключ подпісы праверкі адкрытых ключоў. Яны адабрэння дзеянні адкрытага ключа пакетаў і звязаных з ID ад трэцяй асобы. Гэта спосаб, у якім ключавыя падпісання будуе сетку даверу.

"Сеткі даверу" з'яўляецца тэрмін выкарыстоўваецца для апісання даверных адносін паміж групай клавіш. Ключа подпісы спасылку, або нітка, калі вы будзеце ў сеткі даверу. Гэтыя спасылкі называюцца "мэтавай Шляхі". Мэтавы шляху могуць быць двунаправленной або толькі адным спосабам. Ідэальны вэб даверу, у якой усе звязана двунаправленным для ўсіх астатніх. Па сутнасці, кожны спадзяецца, што кожны ключ робіць на самай справе належыць яго ўладальніку. Сеткі даверу можа разглядацца як сума ўсіх мэтавых шляху, або спасылкі, паміж усімі асноўнымі ўдзельнікамі холдынгу. Як візуальныя Вось, напрыклад, графік сеткі даверу, што я належу.

Малюнак 2.1. Прыклад сеткі даверу Графік

Ёсць тры асноўных прычыны для правядзення як многія ключавыя бакі падпісалі, як вы магчыма.

Па-першае, і, магчыма, самае галоўнае, вы павінны правесці як многія ключавыя бакі падпісанне магчыма ў мэтах пашырэння сеткі даверу. Больш глыбокае і шчыльна ўзаемазвязаны сеткі даверу, тым больш цяжка, каб перамагчы. Гэта мае асаблівае значэнне для супольнасці вольнага праграмнага забеспячэння, як для распрацоўшчыкаў і карыстальнікаў. Сябры суполкі належаць на тэхналогіі PGP для крыптаграфічнай абароны цэласнасці сваіх пакетаў праграмнага забеспячэння, рэкамендацый па бяспецы, і аб'явы. Трываласць і надзейнасць сеткі даверу прама прапарцыйная сіле абарону PGP дае супольнасці ад пагроз бяспекі, такіх як траяны, шкоднасныя праграмы, вірусы, і падробленыя паведамлення.

Па-другое, асноўнымі бакамі падпісання дапамагчы іншым інтэгравацца ў культуры бяспекі і заахвочваць іх, каб атрымаць разуменне PGP і звязаных з імі тэхналогій моцнай крыптаграфіі. Для таго каб атрымаць перавагі моцнай крыптаграфіі, людзі павінны выкарыстоўваць моцную крыптаграфію і правільна яго выкарыстоўваць. Для гэтага неабходна агульнае ўяўленне аб базавай тэхналогіі. Гэта можа быць цяжкім для людзей, якія нядаўна кампутары і новыя для свабоднай культуры праграмнага забеспячэння, каб атрымаць такое разуменне. Прадстаўляючы людзей, якія не маюць ведаў і навыкаў у крыптаграфіі для асоб, якія распрацавалі іх можа быць вельмі карысным для тых, хто спрабуе пазнаць. Ён дае вялікае значэнне і перавагі кожнага.

Нарэшце, асноўнымі бакамі падпісання Падтрымай абшчын. Яны дапамагаюць тэхнароў збіраюцца разам, каб пазнаёміцца ??адзін з адным, сеткі, і абмеркаваць важныя пытанні, як грамадзянскія свабоды, cryptorights і рэгулявання Інтэрнэту. Абмеркаванне важна, таму што абмеркаванне гэта не толькі першы крок, але крок да прыняцця. Калі я ўпершыню напісаў гэты дакумент было не вельмі шмат складаных тканін даверам у свеце. Рэчы рэзка палепшылася, з больш багатым тканін, якія значна глыбей, чым яны былі некалькі гадоў таму. Тым не менш, яна па-ранейшаму застаецца выпадку, калі ў вас праца па стварэнні сеткі даверу ў вашым раёне, гэта вельмі верагодна, што першыя ўдзельнікі ў тым, што вэб будуць лідэры і палітыкі сетэр інтэрнэт-супольнасці ў вашым раёне. Яны асоб, якія могуць выбраць для стварэння бяспечных моцных крыптаграфічных тэхналогій і пратаколаў у мясцовую інфраструктуру, калі яны таго пажадаюць. Інтэграцыі такіх тэхналогій і пратаколаў, можа зрабіць такія пытанні, як драпежнік сістэмы ФБР і незаконнай ўнутранага назіраньня Агенцтва нацыянальнай бяспекі ў тэхналагічна немагчымым і, такім чынам, спрэчны.

У якасці прыкладу, скажам, што Аліса і Боб генерыраваць PGP ключы з GNU Privacy Guard (GPG) і ўтрымлівайце PGP ключ удзельнікам падпісання. На вечарыне Аліса і Боб пайсці праверыць "ключавой інфармацыі, а затым знак адзін аднаго адзін аднаго ключоў. GPG па змаўчанні аўтаматычна ўваходзіць адкрыты ключ кожнай пары яно спараджае з адпаведнага закрытага ключа. Так, Аліса і Боб як цяпер, так, па крайняй меры дзве подпісы праверкі таго, што іх ключы да іх належаць. ключ Алісы быў падпісаны Аліса сябе і Бобам. ключ Боба быў падпісаны Боб сябе і Аліса. У будучыні Аліса і Боб сустракаюцца Кэці. Кэці генеруе пару ключоў і кажа Аліса і Боб, што яна пашле іх абодвух яе ключавых. Аліса не любіць Кэці і не хоча Боб абменьвацца зашыфраванымі сувязі з ёй. Аліса і Кацярына генерыраваць PGP ключы, якія яны сцвярджаюць, належыць Кэці. Яны як адправіць іх Бобу. Абедзве клавішы маюць адну подпіс, само падпісанне адпаведнага закрытага ключа. Боб не ведае, які ключ сапраўды Кэці.

Кэці даведаецца, што Боб атрымаў два ключа, і падазрае, Аліса. Кэці, цяпер злуецца, хацела б атрымаць інфармацыю, якую яна можа выкарыстаць супраць Алісы. Для таго каб атрымаць гэтую інфармацыю Кэці павінна кампраміс такім варыянце паведамленняў паміж Алісай і Бобам. Для таго, каб зрабіць гэта, Кэці вырашае выкаваць ліст ад Алісы Боб сказаў яму, што Аліса спарадзіла новую пару ключоў - пара ключоў, на якія толькі Кэці мае закрыты ключ. У кованых электроннай пошты, Кэці ўключае Алісы "новы" адкрыты ключ (які на самай справе падробленыя ключ, згенераваны Кэці). Тым не менш, Боб ведае, упэўнены, што гэта выкрут, таму што нават Боб зараз мае два ключа для Алісы, адзін з ключоў быў падпісаны некалькімі людзьмі (сябе і Аліса) правяраючы, што ён сапраўды належыць Алісе, а іншы ключ - фальшывы ключ Кэці - толькі яго ўласную подпіс.

Прыведзены вышэй прыклад з'яўляецца вельмі спрошчанай і рэчы могуць атрымаць значна складаней, чым гэта. Вы можаце прачытаць PGP часта задаюць пытанні ці добрую кнігу па PKI для атрымання дадатковай інфармацыі і больш падрабязнае тлумачэнне. Вышэй прыклад не выразна растлумачыць асновы ключ падпісання і яго значэнне. Кэці была не ў стане ўвесці падробленыя пару ключоў для Алісы з сеткі даверу узаемасувязяў (ключ подпісы) паміж Бобам і Алісай.

Важна адзначыць, аднак, што подпісы і палатно з даверу не гарантуюць даверныя ключы. Напрыклад, калі Аліса і Боб ўпершыню сустрэўся з Кэці, скажам, што сябар Кэці, Дональд, было з Кэці. Дональд можа спарадзілі падробленыя пары ключ для Алісы і Боба, падпісаў іх сваім ключом і падпісалі абедзве пары ключоў з іншымі парамі ў выніку чаго тры подпісы на кожнай клавішы і паслаў іх да Кэці. Кэці прыйшлося б сутыкнуцца серыі дрэнных ключоў і подпісаў. Як ключ падпісання дапамагчы Кэці супрацьстаяць такому нападу? Ну, скажам, што ўсе людзі, залучаныя дзе абмену ключамі праз сервер ключоў. Калі Кэці шукалі ключ сервера для ключоў Алісы і Боба, яна б знайсці два набору для Алісы і Боба. Калі Аліса і Боб сабраў дваццаць ключавых подпісаў на keysigning партыі, відавочна, што Кэці магла лепш давяраць адкрытых ключоў падпісаны на дваццаць розных людзей, чым тыя, падпісаны толькі тры чалавекі. Кэці павінны ведаць, што-то ў параўнанні з існаваннем дадатковых адкрытых ключоў - такім чынам яна можа шукаць ўважліва пакалення даты і даверу вэб-за адкрытых ключоў. Дваццаць ключы ад удзельніка подпісаў ўсе павінны быць падпісаны на дваццаць або больш розных людзей і ў тых, ключоў подпісы, хутчэй за ўсё, самых розных пакаленняў раз. Гэта верагодна, што ключы, якія падпісалі ключы удзельнікам keysigning партыі былі таксама падпісаны іншыя ключы людзей, якія не прымалі ўдзелу ў партыі. Магчыма, людзі, якія нават не жыве ў тым жа раёне. Гэта не было б у выпадку з падробленымі ключамі, калі Дональд выклікаў дваццаць падробленых ключавых пар і спароджаных падробленыя вэб даверу. Аб'ём фальшывых вэб-Дональда даверу будзе абмежаваны ў памеры і глыбіні колькасць ключоў Дональд падрыхтавана або былі атрымаць кантроль. Шматслаёвай сеткі даверу падтрымкі рэальнага ключы забяспечыць моцнае здагадка, што Аліса і Боб сапраўдныя ключы былі больш надзейным, чым падробленыя ключы Donald's.

Існуюць розныя магчымыя структуры для keysigning бакоў. Гэтыя розныя фарматы былі разлічаны на павышэнне ўзроўню ўдзелу, як PGP стала больш папулярнай. У ніжэй прапісаныя раздзелах апісаны тры з найбольш распаўсюджаных метадаў і прапануе інструкцыі для кожнага з іх. Чытаючы Тэорыя падпадзелах ніжэй, вы зможаце вызначыць і выбраць правільны метад партыя для вас.

Чым больш партыя, тым лепш. Вы можаце аб'явіць ваша партыя ў мясцовы спіс рассылкі LUG, іншых звязаных з кампутарамі спісы вы на ў гэтым раёне, нават месца аб'яву ў газеце навіны або выпусціць прэс-рэліз.

Калі вы толькі пачынаеце будаваць сеткі даверу ў вашым рэгіёне, гэта добрая ідэя, каб паспрабаваць атрымаць іншыя актыўныя карыстальнікі PGP ўдзел, таму што яны з'яўляюцца тымі, хто, хутчэй за ўсё, займаюць ключавыя бакі падпісанне свае ў будучыні. Добры спосаб знайсці такіх людзей, каб гаварыць з тымі, хто паслаў ліст спісы вы на с PGP подпісы, альбо шляхам пошуку ключоў сеткі для ключоў з адрасы электроннай пошты, характэрныя для дадзенай мясцовасці. Напрыклад, адрасы электроннай пошты, якія заканчваюцца ў галіне універсітэце або буйнай кампаніі, якія размешчаны ў вашым раёне часта даюць вельмі вялікая колькасць зацікаўленых бакоў.

Грег Муллейн распрацаваны вельмі добры сайт, вядомы як Вялікі Піламатэрыялы, для знаходжання асоб паблізу дадзенага геаграфічнага становішча, зацікаўленых ва ўдзеле ў keysigning бакоў. Лістынг вашай keysigning партыі і сябе не сайт з'яўляецца добрым спосабам для прасоўвання вашага партыі. Гэта таксама выдатны спосаб штрафу аб іншых бакоў, што адбываецца побач з вамі або паблізу месца прызначэння вы плануеце падарожжа з.

Вось некалькі прыкладаў аб'явы:

Працэс стварэння пары ключоў дастаткова просты. У асноўным, вам проста трэба выканаць:

 GPG - Gen-ключ 

Тым не менш, я рэкамендую вам таксама генерыраваць сертыфікат водгуку для ключа ў выпадку, калі вы калі-небудзь свабодны доступ да сакрэтнага ключа (г.зн. страціце свой пароль або страціце свой сакрэтны ключ). Інструкцыі па стварэнні водгуку сертыфікатаў можна знайсці ў раздзеле "Стварэнне водгуку сертыфікатаў" гэтага дакумента.

Крок за крокам інструкцыі, дзе напісана з лепшай практыкай бяспекі (цяжкая параною). Напрыклад:

Некаторыя людзі могуць быць зручнымі з нашымі прыняцця ўсіх гэтых мер засцярогі. Напрыклад, калі ў вас ёсьць партатыўны кампутар або хатні кампутар, які вы прачыталі ўсе вашы лісты ад, вы можаце адчуваць сябе досыць камфортна, каб захоўваць ключ на жорсткі дыск гэтага кампутара. Вы таксама можаце адчуваць сябе камфортна генерацыі пары ключоў, якія ніколі не мінае, які можна выкарыстаць для ідэнтыфікацыі і большасць паведамленняў толькі. Вы можаце атрымання дадатковых пар ключоў для вельмі адчувальнай сувязь (калі ў Вас узнікнуць). Зноў жа, крок за крокам інструкцыі былі напісаны лепшыя практыкі з меркаванняў бяспекі. Вы не абавязкова павінны ісці за імі, вам проста неабходна стварыць пару ключоў. З іншага боку, калі вы вельмі паранаідальны бяспекі вырадак, як я, вынікаючы ўказанням ніжэй будзе часова прадаставіць вам, што хутка мімалётнае пачуццё спакою, што вы ооо так павінны адчуваць сябе прама зараз.

1) Перайдзіце на сайт GnuPG і спампаваць апошнюю версію GnuPG, GnuPG-xxxtar.gz. Затым запампуйце асобна PGP подпіс гэтага архіва, GnuPG-xxxtar.gz.sig.

Увага: Калі ласка, пераканайцеся, што вы працуеце па крайняй меры версія 1.4.3 ад GnuPG. Версіі да 1.4.3, па меншай меры адзін істотны недахоп бяспекі ў іх.

2) Праверыць подпіс PGP і SHA-1 Кантрольная сума на архіў GnuPG:

 Баш $ GPG - праверыць GnuPG-xxxtar.gz.sig GnuPG-xxxtar.gz
Баш $ sha1sum GnuPG-xxxtar.gz 

3) Распакуйце архіў, наладзіць, скампіляваць і ўсталяваць:

bash$ tar xzf gnupg-x.x.x.tar.gz
bash$ cd gnupg-x.x.x
bash$./configure
bash$ make
bash$ su
bash# make install
bash# exit
bash$ cd

Калі вы падзяляеце сістэмы вы ўсталяваць GnuPG на з іншымі, вы таксама можаце зрабіць GPG SETUID корань так што яго можна выкарыстоўваць бяспечныя памяці. Калі вы вырашыце гэта зрабіць, вы павінны пераканацца, прыняць меры засцярогі, рэкамендавалася раней, праверка вашага архіва з подпісам sha1sum і PGP подпісы, каб пераканацца, што вы не робіце ўстаноўку траянскага каня.

4) Атрымаць прылада USB для захоўвання ключоў і на часткі і адфарматаваць яго.

 Bash #/ sbin/ FDISK/ Dev/ ПДР
Bash #/ sbin/mkfs.ext3/ dev/sda1 

4а) Змантаваць прылада USB і зрабіць каталог на гэта належыць вам для ключоў:

 Баш $ прымацаваць/ шашы/ usbfs
Баш $ MkDir/ шашы/ usbfs/. Gnupg 

і, пры неабходнасці (у залежнасці ад прылады доступу ў вашай сістэме):

 Баш $ Чаун <your_uid>: <your_gid>/ шашы/ usbfs/. Gnupg 

4, б) зрабіць сімвалічную спасылку з вашага хатняга каталога для прылады USB

 Баш $ LN-S/ шашы/ usbfs/. Gnupg. GnuPG 

5) Стварэнне вашай GnuPG ключоў

 Баш $ GPG - Gen-ключ 

5а) Абярыце ключавыя тыпы вы хочаце - па змаўчанні гэта добра.

Please select what kind of key you want:

   (1) DSA and Elgamal (default)
   (2) DSA (sign only)
   (5) RSA (sign only)
Your selection? <return>

5b) Select your key size: 4096

DSA keypair will have 1024 bits.
ELG-E keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) 4096<return>

Requested keysize is 4096 bits

5c) Set the lifetime of this key: 5 years is good

Requested keysize is 4096 bits
Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0) 5y<return>
Key expires at Fri Nov  5 00:19:43 EST 2012
Is this correct (y/n)? y<return>

5d) Enter your name and email address(es)...

Real name: Demo User<return>

Email address: demo@nonexistent.nowhere<return>
Comment:
You selected this USER-ID:
    "Demo User <demo@nonexistent.nowhere>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?  O<return>

5E) Абярыце фразу. Вы павінны выбраць добры. Ён павінен быць доўгім і вельмі цяжка адгадаць. Любыя фразы менш дванаццаці знакаў можна здагадацца па сучаснай тэхналогіі вылічальнага кластара. Лепш за ўсё выкарыстоўваць праграму, як passgen (FreshMeat) для стварэння сваіх фраза з аперацыйнай сістэмы крыніц pseudorandomness. Калі вы не выкарыстоўваеце праграмы, як passgen, фразы, а не пароль вельмі рэкамендуецца. Гэта павінна быць што-то вы не забудзецеся. Калі вы забыліся фразу, вы не зможаце аднавіць ваш ключ.

5f) Перамесціце мыш і націснуць некалькі кнопак, можа быць, знайсці абнаўлення ў фонавым рэжыме або запусціць вялікі знайсці. GPG з'яўляецца чытанне/ Dev/ выпадковая атрымаць некаторую выпадковасць для генерацыі ключа./ Dev/ выпадковая запаўняецца часткова перапынення адбываецца на вашым кампутары.

6) Змяніць ключ, калі хочаце. Напрыклад, калі ў вас ёсць некалькі адрасоў электроннай пошты, і вы хочаце, каб пералічыць іх як сапраўдныя на ключ:

bash$ gpg --list-secret-keys

/home/demo/.gnupg/secring.gpg
----------------------------
sec  1024D/C01BAFC3 2007-11-05 Demo User <demo@dublin.ie>

ssb  4096g/7A4087F3 2007-11-05
bash$ gpg --edit-key C01BAFC3
Command> help
Command> adduid
[...]
Command> save

7) Па жаданні, адпраўце Ваш ключ да ключоў:

 Баш $ GPG - ключоў <keyserver> - адправіць ключ <Your_Key_ID> 

Вы павінны ўбачыць паведамленне аб паспяховым так:

 GPG: поспех адпраўцы `<keyserver>" (статус = 200) 

8) Адаслаць Вашу інфармацыю Каардынатара кажучы яму, што вы прыходзіце да ключавых удзельнікам падпісання. Прыведзеная ніжэй каманда выведзе інфармацыю, якую вы хочаце трэба даслаць да каардынатара, калі вы карыстаецеся сервер ключоў. Вы можаце адправіць гэтую інфармацыю ў такім варыянце паведамленняў электроннай пошты каардынатара.

bash$ gpg --fingerprint  <Your_Key_ID>

9) Unmount the usbdevice and remove it:

bash$ umount/mnt/usbfs

Заўвага: Вы можаце насіць прыладу USB Flash з сабой для забеспячэння дадатковай бяспекі, або вы можаце проста пакінуць яго ў сейфе, зачыняецца скрыню стала і г.д. Як правіла, гэта вельмі дрэнная ідэя, каб ваш GnuPG каталог, які змяшчае вашыя ключы ў месцы. даступныя праз Інтэрнет. Калі зламыснік робіць копію вашага сакрэтнага ключа кальцо, ён можа працаваць слоўніка (падбор пароляў) атака супраць яго, каб атрымаць кантроль над ключоў.

10) з'яўляюцца на баку.

Гэта наступныя дадатковыя крок не з'яўляецца абавязковым, але рэкамендуецца.

Адклікання сертыфіката з адмысловай электроннай лічбавай подпісы на адкрыты ключ, які можа быць выкарыстаны для адклікаць гэты ключ у тым выпадку, калі вы страціце доступ да вашых закрытым ключом з-за кампраміс, арышт, забыўся пароль, або адмовы носьбіта. Каб выкарыстоўваць сертыфікат водгуку, вам проста трэба распаўсюдзіць яго ў той жа пытанне, што вы распаўсюджаны ваш адкрыты ключ. Напрыклад, калі вы ўкладання сертыфікат водгуку для грамадскіх ключоў, ключоў будзе аб'яднаць яго з вашым ключавым там, адмяніўшы яго. Калі вы хочаце мець магчымасць адклікаць ваш адкрыты ключ, калі вы не маеце доступ да вашых закрытым ключом, вы павінны падпісаць ключ і захаваць яго бяспечным месцам. Вы павінны таксама раздрукаваць копію ASCII закадаваным водгуку сертыфікатаў так, што яно можа быць уведзена і выкарыстоўваецца ў выпадку адмовы або страты сродкаў масавай інфармацыі, што захоўваецца на.

Калі вы адклікання сертыфікат скампраметаваны, чалавек, які кампрамісы вашага адклікання сертыфіката зможа распаўсюдзіць сертыфікат тым самым адключыўшы свой ключ. Аднак, чалавек не зможа пайсці на кампраміс ваш сакрэтны ключ шляхам яго доступ да адклікання сертыфіката. Для гэтага, яны не будуць здольныя генераваць падробленыя подпісы, расшыфроўкі паведамленняў, такім варыянце з вашай пары ключоў, або іншым чынам скажаць сябе ўладальнікам свайго ключоў. Так як толькі адмоўны вынік мага далей ад кампрамісу адклікання сертыфіката з'яўляецца адключэнне вашага ключоў, гэта наогул бяспечна і добра б зрабіць.

GnuPG каманду, каб стварыць ASCII закадаваным сертыфікацыі водгуку:

 Баш $ GPG - выхадны revcert.asc - Gen-адклікаць <key_id> 

Важна адзначыць, што некаторыя людзі лічаць, што захаванне іх публічны ключ сакрэт дадае дадатковы ўзровень бяспекі для сваіх такім варыянце паведамленняў. Гэта праўда, таму што ключоў можа быць зламаны або скампраметаваныя і вярнуць няправільна адкрыты ключ пры запыце. Акрамя таго, ключ на дадзенага грамадскага ключоў не можа быць самую апошнюю версію ключ. Напрыклад, дадатковыя подпісы, магчыма, былі дададзены ў ключ, які не распаўсюджваецца або загружаныя на сервер ключоў. Гэтыя подпісы могуць уключаць ключ ці ідэнтыфікатар карыстальніка подпісы водгуку, які можа прывесці ў далейшым выкарыстанні ключа або ідэнтыфікатар карыстальніка, які быў адменены з-за кампраміс. Гэта таксама дакладна, таму што адкрыты ключ з пары ключоў, неабходна выконваць пэўныя тыпы нападаў адкрыты ключ крыптасістэмы якія PGP выкарыстоўвае. Хаця многія людзі чакалі, з досыць вялікі Ключы даўжынёй, што гэтыя напады так вельмі малаверагодна, каб быць паспяховымі, што ён не мае значэння, калі адкрыты ключ перадаецца, падтрыманню грамадскага сакрэтны ключ, на справе ўмацавання пары ключоў, памяншаючы магчымасць магчымасць дзе гэтыя атакі могуць быць прынятыя. Нарэшце, некаторыя дэталі вашай сацыяльнай сеткі, а хто вы сустракаліся ў мінулым, і, магчыма, могуць гаварыць з цяпер, можа быць ўцечка, што подпісы былі зроблены на гэты адкрыты ключ.

Я не рэкамендую вам захаваць ваш адкрыты ключ сакрэт, як ён будзе перашкаджаць іншым асобам выкарыстоўваць PGP ў іх сувязі з вамі. Для вырашэння пытання аб магчымасці скампраметаваныя або зламаных ключоў вяртання несапраўдны ключ вы можаце прыняць меры, каб абараніць сябе ад таго, паведамленні, адпраўленыя вам зашыфраваныя з няправільных ключоў, такія як публікацыя адбіткаў пальцаў ключ у вашай. Сигнатурный файл або на Вашым вэб- старонкі. Для рашэння заклапочанасць з нагоды нападу вашай пары ключоў калі ваш агульнадаступных адкрытых ключоў, я б сказаў, што калі вы вельмі занепакоеныя сіла вашай пары ключоў або сапраўдны параноік пра таямніцу вашы паведамленні, вы можаце стварыць дадатковыя пары ключоў (якія мінае на працягу некалькіх гадзін або дзён) для кожнага паведамлення і абмен адкрытымі ключамі тых пар ключоў, хоць шыфраваная сувязь з асобнымі вы будзеце мець зносіны з.

Калі вы не хочаце, каб ваш ключ на публічны сервер ключоў, вы павінны прапусціць гэты крок і замест электроннай пошты ваш адкрыты ключ keysigning ўдзельнік каардынатар паведамленне аб тым, што вы не хочаце, каб ваш ключ на публічны сервер ключоў. Каардынатар можа атрымаць ваш адкрыты ключ інфармацыі і наперад ключ да іншых удзельнікаў з дапамогай зашыфраванай электроннай пошце, ці іншым спосабам, разам з запіскай аб тым, што ключ павінен быць вернуты яго ўладальніку пасля падпісання, а не загружана на ключоў.

Вы можаце размясціць ключавыя палітыкі падпісання ў Інтэрнэце. Ключавыя палітыкі падпісанне заявы аб тым, што ўмовы Вы патрабуеце, каб быць выкананы для таго, каб вы павінны быць гатовыя падпісаць ключ PGP. Ён можа ці не можа падрабязна патрабаванні для розных тыпаў подпісаў PGP.

Мэта размяшчэння падпісання палітыкі ў два разы. Па-першае, падпісанне палітыкі дазваляе асобам, якія хацелі б вы падпісваеце іх ключавых атрымаць разуменне таго, што ім прыйдзецца зрабіць, каб атрымаць, што подпісы. палітыка можа падрабязна, якія дакументы вы патрабуеце, які тып ключоў вам знакам, або нават калі вы будзеце падпісваць PGP ключы людзей, у вас няма даўно асабістыя адносіны з на ўсіх. Па-другое, падпісанне палітыка можа дапамагчы іншым ацаніць якасць подпісаў вы зрабілі на аднаго ключы PGP.

Вось ключ падпісання прыклад палітыкі для вашай даведкі.

Крок 1: Атрымаць копію ключа

Як правіла, вы будзеце працаваць з сервера ключоў. Аднак, калі вы падпісваеце ключ, які не даступны на сэрвэры ключоў, вы можаце выкарыстоўваць проста імпартаваць ключ GPG - імпарт. Калі вы працуеце з сервера ключоў, наступная каманда будзе спампаваць ключ з ключоў у вашу адкрытых ключоў.

bash$ gpg --keyserver <keyserver> --recv-keys <Key_ID>

Калі вы атрымліваеце памылкі чытанні, гэта азначае, ключоў перагружаны. Калі ласка, паспрабуйце яшчэ раз у некалькі секунд.

Крок 2: Калі ласка, пераканайцеся, адбіткаў пальцаў і ключавых

bash$ gpg --fingerprint <Key_ID>

GPG выведзе адбітак на кнопку з <Key_ID> (ключ вы толькі што спампавалі). Праверка адбіткаў пальцаў супраць кантрольны спіс, які вы, дзе дадзена на вечарынцы. Заўвага: Не правяраць адбіткі пальцаў на пералік супраць адбіткаў пальцаў на вэб-старонцы, што і сервер не можа адправіць Вам жа ключ адлюстроўваецца на вэб-старонцы.

Крок 3: Увайдзіце ключ

bash$ gpg --sign-key <Key_ID>

Калі ў вас ёсць некалькі закрытых ключоў, вы можаце паказаць, якія з вашых прыватных ключоў да знака іншымі асобамі адкрыты ключ, як гэта:

bash$ gpg --default-key <Key_to_use> --sign-key <Key_ID>

Калі ў вас узніклі праблемы справу з ключамі RSA, вы, верагодна, карыстаецеся старую версію GnuPG. Версіі GnuPG старэй 1.0.3 не ўключаюць у сябе падтрымку RSA. Заўвага: Магчыма, вам прыйдзецца выдаліць старую версію, калі ваш дыстрыбутыў ўстанавіў яго з пакетам праграмнага забеспячэння для кіравання. Вы можаце праверыць версію вы выкананне наступным чынам:

bash$ gpg --version

Крок 4: Вяртанне або Загрузіць падпісаў ключ

Калі вы працуеце з асобай, якое не хочуць, каб іх ключ на публічны сервер ключоў, вы павінны ў гэты момант вы павінны вярнуць свае падпісаў ключ назад да іх ад іх метадам выбару - як правіла, зашыфраванай электроннай пошты. Вы не павінны адправіць адкрыты ключ на сервер ключоў з нашымі дазволу ўладальніка ключа. Публікацыя адкрытага ключа некалькі памяншае бяспеку пары ключоў, для іх гэта лічыцца грубым, каб зрабіць ключавыя больш публікі, чым яе жадання ўладальніка.

Хутчэй за ўсё, вы працуеце з сервера ключоў. Калі гэта так, то вы можаце адправіць падпісаны ключ назад на сервер ключоў, як гэта:

bash$ gpg --keyserver <keyserver> --send-key <Key_ID>

Вы павінны ўбачыць паведамленне аб паспяховым так:

gpg: success sending to `<keyserver>' (status=200)

Віншуем р>, подпісы ключавых іншай асобы ў цяперашні час поўным і ваша подпіс была ўключана ў іх адкрытых ключоў. Мэтавы шлях быў створаны.

OpenPGP стандарт уключае ў сябе спектр абазначэння подпісы пакета так, што вы можаце падпісаць адкрыты ключ і пакет ідэнтыфікатар карыстальніка з розным узроўнем даверу.

Як правіла, гэта прымальна для выкарыстання па змаўчанні подпісы GnuPG па тыпу. Аднак, іншыя тыпы даступныя для выкарыстання, калі вы хочаце, каб спроба пабудаваць больш падрабязныя і дакладныя сеткі даверу з вашым ключом. Для атрымання канкрэтнай інфармацыі па выкарыстанні гэтых розных тыпаў подпісаў, калі ласка, глядзіце RFC4880.

Нішто не зацікавіць людзей дасягнула свайго піку, як маляўнічая графіка. Для гэтага, графічны вэб даверу ў вашым раёне, як вы яе будуеце можа дапамагчы матываваць людзей да ўдзелу, а таксама прадастаўленне кожнаму ясна сэнс таго, што быць выканана ў ходзе рэчаў.

Вы можаце вельмі лёгка стварыць графік ўсіх ключоў і подпісаў у вашай сеткі даверу шляхам пераўтварэння гэтай інфармацыі ў кропку файл, які можа быць пададзены ў графічныя праграмы, як кропка або Neato. Perl скрыпт, які пераўтварае ключоў і подпісаў у звязку да файла ў фармаце кропка была напісаная Darxus, а таксама даступны на ўмовах ліцэнзіі GPL. Для таго, каб граф Сеткі даверу вам неабходна спампаваць "Darxus sig2dot.pl сцэнар і GraphViz праграмнага забеспячэння ад AT & T даследаванняў або Darxus " springgraph Perl код, які можа графа ў 3D. Вы не можаце быць у стане графа сеткі даверу з больш чым некалькі сотняў вузлоў з-за аб'ёму памяці, неабходнай для выканання такой аперацыі.

Інструкцыі для графічнага адлюстравання сеткі даверу ў GPG ключоў ўключаны ў sig2dot.pl скрыпт, ці можна знайсці на старонцы Debian графічных ключоў. Ізноў жа, тут спасылку, каб праглядзець графік сеткі даверу, які быў падрыхтаваны з sig2dot.pl сцэнар і графічнай праграмы Neato. Дадатковую інфармацыю можна атрымаць з Debian старонкі графічны keyring.

Цалкам магчыма, што вы будзеце падыходзіць на вечарынцы або на нейкі час праз электронную пошту ці нават ананімныя сістэмы ремейлер прашу вас падпісаць PGP ключ, які звязаны з псеўданімам ідэнтычнасці. Як правіла, большасць людзей лічаць сеткі даверу як матэматычная механізм, які законна спасылкі meatspace тоеснасць з кіберпрасторы ідэнтычнасці. Аднак, гэта толькі адна магчымасць выкарыстання для сеткі даверу. Што сетка даверу павінен быў зрабіць гэта ў самым базавым узроўні з'яўляецца забяспечыць разумную упэўненасць у тым, што чалавек вы ў сувязі з фактычна чалавек, што вы думаеце, што ў сувязі з. Сеткі даверу механізму ідэнтыфікацыі і ідэнтыфікацыі.

Identity можа прыйсці ў розных формах. Людзі могуць мець, як вялікія творцы канстытуцыі зрабіў, псеўданімы. Людзі могуць прадстаўляць карпарацый, або нефармальных груп. Людзі могуць нават камбінаваныя тоеснасць з іншымі, такімі, як у выпадку з шлюбнымі парамі. Людзі могуць нават даць камп'ютэрных праграм асобу і ўсталяваць ідэнтычнасць, або брэндаў, для цалкам віртуальныя канструкцыі, такія як інтэрнэт-сайты або эфірнага падзеі, такія як канферэнцыі, кадаванне боку, конкурсы, або нарад.

Так, як можа сетку даверу быць выкарыстаны для праверкі ключавых уласнасці пары з асобу, якая не мае чалавечага meatspace эквівалент? Ён можа зрабіць так, таму што сувязь паміж парай ключоў і любое тоеснасць Con быць зроблена, проста зносін агульны сакрэт праз канал забяспечаныя пары ключоў, які сцвярджаў, што звязана з тоеснасць заявіў на карыстальнікаў пакета ID ключ PGP грамадскасці. Дэманстрацыя ведаў сакрэт доказы, якія сведчаць наяўнасць сакрэтнага ключа, з'яўляюцца для іх кантроль ключоў.

Для рэальным свеце, напрыклад, дазваляе сказаць, што ў нас ёсць чалавек, які плануе выпусціць новы дыстрыбутыў Linux. Ён забяспечыў даменнае імя grayhat.org выкарыстоўваць для новых distribition якая будзе называцца, Шэры Hat Linux. Але, ён не мае фармальнага кампаніі або арганізацыі ў гэтай кропцы. Распрацоўшчык хацелі б мець ключ PGP, што ён выклікаў для подпісу пакетаў і выпраўленняў бяспекі інтэграваныя ў сетку даверу. Аднак, гэты чалавек здолеў атрымаць шмат іншых людзей, каб працаваць з ім на distribition і кожнага ўзяць на сябе адказнасць за некаторыя з многіх розных пакетаў праграмнага забеспячэння. Па гэтай прычыне, ён стварыў ролю ключа з пакетам ідэнтыфікатар карыстальніка, які кажа: GrayHat бяспекі <security@grayhat.org>. Давайце таксама сказаць, што вы не ведаеце гэтага чалавека. Для гэтага ў вас няма магчымасці даведацца, калі ён на самай справе, упаўнаважаных прадстаўляць ўладальнік grayhat вобласць у гэты шлях.

Спосаб зрабіць некаторы ўзровень праверкі таго, што гэты чалавек мае доступ да абодвух адрас электроннай пошты і сакрэтны ключ з пары ключоў, ён спрабуе атрымаць праверкі будзе па электроннай пошце таямніцу зашыфраванай з дапамогай адкрытага ключа ён папрасіў, каб Вы падпісалі на электронны адрас, пазначаны на гэты адкрыты ключ. Калі ён у стане атрымаць і расшыфраваць паведамленне, што і паказваюць, што да вас, дэманструючы веданне сваёй таямніцай, можна выказаць здагадку, што ён з'яўляецца законным уладальнікам PGP ключоў і асобу і адрас электроннай пошты сцвярджае ён.

Хоць гэта, вядома, магчыма, што ён можа быць хакерам, які атрымаў кантроль над grayhat.org сервера або яго DNS-запісы, якія не абавязкова ваша непакой. Ваш подпіс PGP кажа адзначыўшы, аб тым, як забяспечыць grayhat.org дамен, толькі тое, што вы зрабілі пэўны ўзровень намаганняў, каб праверыць, што чалавек, які падарыў вам адкрыты ключ падпісаць зьявіўся табе, каб быць пад кантролем, і там на законных ўладальніка, і іншага. Асобы улічваючы ступень даверу, што яны могуць размясціць у GrayHat Бяспекі пары ключоў, якія вы падпісалі, варта разгледзець у сваіх разліках на тое, што іх не існавала ўрад, ні карпаратыўныя дакументы, якія сведчаць асобу для рэзервовага зацвярджэнне Узоры што індывідуальныя і кіберпрасторы асобу сцвярджаў ён. Яны павінны таксама лічаць, што пара ключоў можа быць перададзена паміж групай распрацоўшчыкаў і асобных рашэнняў сцвярджаючы з ключоў можа быць хто-то, хто ты, якi падпiсаў, ніколі не сустракаўся.

Гэта не памяншае значэнне ключа або подпісы вы зрабілі, калі гэты ключ ці звязаных рахунку аказваецца, былі скампраметаваныя. Ваша подпіс не дае ваш стан і бязмежнае адабрэнне асобу і рэчаіснасць. Ён проста сцвярджае, што вы зрабілі праверку з тым, што вы лічыцца правядзення юрыдычнай экспертызы і адчуваў дастатковай ступені задаволена тым, што ў знак ключа. Давер паміж двух асоб, якія ўзаемадзейнічаюць у дадзены момант, гэта эфірны. Тым не менш, калі ваш належнай абачлівасці ўжо даўно не хапае і іншых сутыкаюцца многія неадпаведныя подпісы зроблены ключ, кошт вашай подпісы, безумоўна, пакутуюць. Напрыклад, калі вы падпісваеце з ключамі з праверкі адбіткаў пальцаў, ці знак ключы без ўнясення якой-небудзь спробы праверкі.

Некаторыя былі распачатыя намаганні, каб лепш аналізаваць злучэнняў, створаных у сеткі даверу. Таму што подпісы на ключах можна разглядаць як сувязі паміж клавішамі, некаторыя цікавыя метады аналізу могуць быць запазычаныя з тэорыі графаў. Ключы стаць вузламі ў графе, і подпісы стаць краю. Пры праглядзе вэб даверу, як граф, можна вылічыць колькасць розных тыпаў статыстычных дадзеных аб ключы, такія, як іх блізкасць да іншай ключ ці ўзроўню іх узаемазвязанасці. Адным з прыкладаў праграму, якая вылічае гэтыя тыпы фігур wotsap.

У будучыні, некаторыя больш прасунутыя інструменты аналізу могуць стаць даступнымі. Як мы бачылі ў перадавой часткі падпісання, асаблівасці існуюць у OpenPGP стандарт, які дазваляе падпісалі знак ключоў з розным узроўнем даверу. І хоць шырокае распаўсюджванне аналізу яшчэ не было зроблена публічна на вэб даверу, які шырока выкарыстаў гэтыя тып подпісы пакетаў, гэта магчыма. У візуалізацыі графаў, гэты тып інфармацыі аб асобных краёў, або спасылкі, можна разглядаць у якасці вагаў. Абраўшы ключы як якар вузлоў ступені даверу могуць быць разлічаны для кожнага вузла звязана з якара вузлоў дазваляе сістэма рэпутацыі, якая займала ключоў. Так як розныя тыпы OpenPGP подпісаў сертыфікацыі яшчэ не ў шырокім выкарыстанні распаўсюджвання, я не веру ні праграмы, такія як тое, што я апісваю існуе.

Калі тэрмін дзеяння ключа, у вас ёсць два варыянты. Вы можаце альбо стварыць новы ключ, або вы можаце падоўжыць тэрмін службы Вашага бягучага ключа. Генерацыя новага ключа з'яўляецца пераважным і тэхнічна правільны спосаб мець справу з гэтай падзеяй.

Гэта лепшыя практыкі для стварэння новай пары ключоў, перш чым стары ключ пары мінуў. Затым, каб выкарыстоўваць стары ключ пары падпісаць новую пару ключоў там, звязваючы яго ў сеткі даверу.

Пасля гэтага, што наступны крок па пошце ўсе людзі, якія падпісалі ваш стары ключ у мінулым папрасіў іх падпісаць новы ключ. Атрымаўшы запіску з подпісам з ключом, які яны відавочна даверу, або з подпісам з ключавых падпісаны ключом, які яны відавочна давер, яны павінны быць гатовыя давяраць новым ключом дастаткова, каб падпісаць яго.

Існуе нічога дрэннага ў прадаўжэнні тэрміну дзеяння ключа. Але, я думаю, што, перш чым хто-то робіць, што яны павінны самі - "Што змянілася аб мадэлі пагроз, што я цяпер давяраць яго ключ, які будзе сапраўдная на працягу больш доўгага перыяду часу, чым я зрабіў, калі я ўпершыню падрыхтавана гэта? "Гістарычна склалася так, крыптаграфічныя алгарытмы, пратаколы і сістэмы заўсёды атрымлівалі лягчэй перапынак з цягам часу.

Акрамя таго, гэта карысна змяняць ключы раз у некалькі гадоў, таму што калі ключ калі-небудзь пагрозу толькі подпісы за абмежаваную колькасць часу, аказваюцца пад пагрозай. Кампраміс абмяжоўваецца колькасць часу, якое вы выкарыстоўвалі, што канкрэтныя пагрозу ключ, а не кожную подпіс, што вы калі-небудзь рабілі.

Нарэшце, калі зламыснік здолеў прымусіць каго-то знак несапраўдны ключ і кожны мінуў свае ключы рэгулярна, што ключ будзе ў канчатковым выніку выпадаюць у цяперашні час пакінуты сеткі даверу.

Калі ключа мінуў, перш чым зрабіў подпіс падоўжыць тэрмін яе дзеяння. Ёсць пытанні, не створана шляхам пашырэння даты пасля ключа мінуў. Адзіная магчымасць турбуе тое, што мінуў копію адкрытага ключа яшчэ цыркулюе там. Можа быць, на іншы сеткавы ключ сервера. Але, гэта не павінна прычыніць вам якой-небудзь значных праблем.

Што тычыцца ключавых сам матэрыял:

У версіі 3, тэрмін дзеяння ключа закадзіраваны ў адкрыты ключ матэрыялу. Само падпісанне сакрэтнага ключа па адкрытым ключу матэрыялу правярае тэрмін прыдатнасці. OpenPGP стандарт не дазваляе адкрыты ключ ўключыць некалькі ключавых пакетаў даты заканчэння тэрміну дзеяння. Так, аднойчы хтосьці атрымлівае копію адкрытага ключа з абноўленым тэрмін, не гісторыя старую дату заканчэння будзе былі захаваныя. Але, Вы не павінны больш выкарыстоўваць версіі 3 ключ з-за тэхнічных недахопаў у дызайне PGP версіі 3.

У версіі 4, тэрмін дзеяння ключа закадзіраваны ў подпісы subpacket з сябе подпісы зроблены на ключ. Подпіс contaning некалькі subpackets заканчэння часу подпісы не сапраўдныя. Правільна працоўных OpenPGP сумяшчальнай рэалізацыяй PGP будзе паважаць сябе падпісання з апошнім тварэннем час як аўтарытэтныя. Калі вы хочаце, вы можаце выдаліць старэй сябе подпісы з выкарыстаннем GnuPG - змяніць ключ опцыі каманднага радка.

Вы можаце адклікаць подпіс на чужой ключ у любы час.

Подпіс наступнага тыпу могуць быць выкарыстаны для адклікаць подпіс любога з чатырох тыпаў, 0x10 0x13 шляхам, на чужой пакет ID карыстальніка:

Подпіс сертыфікацыі адклікання павінны быць зроблены адным і тым жа ключом, які быў выкарыстаны для стварэння подпісы, якія вы хочаце адмяніць. Калі гэта не ўяўляецца магчымым, упаўнаважаным ключавых водгуку можа быць выкарыстаны замест.

У выпадку, калі вы падазрае, што ваш сакрэтны ключ быў скампраметаваны, вы павінны адмяніць ваш адкрыты ключ адразу. Ключавыя адклікання адбываецца шляхам дадання адклікання подпісы да адкрытага ключа. Ануляванне ключавой мяркуе, што ключ не сапраўдны (Secure) і не павінны выкарыстоўвацца. Адзін адклікання сертыфіката выдаецца, яна не можа быць адклікана.

Так як ваш PGP ключ распаўсюджваецца (чытай распаўсюджаныя) для людзей, а не распаўсюджвацца з цэнтральнага пункта кожны раз пры звароце да яго, неабходна распаўсюдзіць і распаўсюджваць свае водгуку сертыфікатаў у тым жа парадку, што вы размеркаваных ваш адкрыты ключ. Цыркуляцыі водгуку сертыфікатаў ў тым жа парадку, як размеркаванне ваш адкрыты ключ, як правіла, азначае загрузкі адклікання сертыфіката ключоў сетак. Калі вы яшчэ не спампавалі свой адкрыты ключ па меркаваннях бяспекі, вы ўсё роўна жадаеце загрузіць анулявання сертыфіката ключоў. У гэтым выпадку вам будуць рабіць кампраміс паміж невялікае зніжэнне бяспекі, якія вынікаў ад таго, ваш адкрыты ключ галоснасці і скарачэння ў галіне бяспекі, якія могуць паўстаць ад таго, хто патэнцыйна не разумеюць, што ключ быў адкліканы.

У аглядзе, GPG каманду, каб стварыць сертыфікат адклікання з'яўляецца:

 Баш $ GPG - выхадны revcert.asc - Gen-адклікаць <key_id> 

Калі ў вас ёсць ідэя аб тым, як або калі вам ключ быў скампраметаваны і вы згенеравалі адклікання сертыфіката пры генерацыі ключоў, вы ўсё роўна хутчэй за ўсё, захочаце стварыць новы сертыфікат адклікання адклікаць вашу пару ключоў. Гэта так, таму што OpenPGP стандарт дазволіць вам паказаць прычыну, чаму вы адклікання вашай пары ключоў і нават забяспечыць свабоднае каментары тэкст аб прычыне водгуку. Цыркуляцыі водгуку сертыфікатаў з такога роду інфармацыю, хутчэй за ўсё, выгодней і пераважней цыркуляцыі агульны сертыфікат, створаны пры генерацыі ключоў.