ควรใช้คำสั่ง GnuPG `--design-revoke` อย่างไร

ควรใช้คำสั่ง GnuPG อย่างไร --desig-revoke ใช้และในกรณีใดที่คุณควรใช้ ตามคู่มือ:

--design-เพิกถอน ชื่อ
สร้างใบรับรองการเพิกถอนที่กำหนดสำหรับคีย์ สิ่งนี้อนุญาตให้ผู้ใช้ (ได้รับอนุญาตจากผู้ถือกุญแจ) เพิกถอนกุญแจของคนอื่น

และมีการดำเนินการที่เกี่ยวข้องใน --edit-key:

addrevoker
เพิ่ม revoker ที่กำหนดให้กับคีย์ ใช้อาร์กิวเมนต์ตัวเลือกเดียว: "ละเอียดอ่อน" หากผู้เพิกถอนที่ระบุไว้ถูกทำเครื่องหมายว่าละเอียดอ่อนจะไม่ถูกส่งออกโดยค่าเริ่มต้น (ดูตัวเลือกการส่งออก)

ประการที่สองความสามารถนี้ในการอนุญาตให้บุคคลอื่นเพิกถอนคีย์ PGP ของคุณเฉพาะ GnuPG หรือเป็นส่วนหนึ่งของมาตรฐาน OpenPGP หรือไม่

มอบหมายการเพิกถอน

ควรใช้คำสั่ง GnuPG อย่างไร --desig-revoke ถูกนำมาใช้?

คำสั่ง --desig-revoke เพิ่มลายเซ็นชนิดพิเศษให้กับกุญแจสาธารณะของคุณซึ่งอนุญาตให้ใช้รหัสอื่น (ซึ่งคุณระบุ) เพื่อสร้างใบรับรองการเพิกถอนสำหรับคีย์ของคุณในภายหลัง การรันคำสั่งไม่ได้สร้างใบรับรองการเพิกถอนจริง ๆ เพียงแค่อนุญาตให้ผู้อื่นทำเช่นนั้นได้ ถือว่ามันเป็นตัวแทนของการเพิกถอน

วิ่ง gpg --edit-key, ติดตามโดย addrevoker ทำสิ่งเดียวกัน แต่จากภายในเมนูแก้ไขคีย์

ใช้เคส

... และในกรณีใดที่คุณควรใช้

สิ่งนี้มีประโยชน์อย่างยิ่งสำหรับองค์กรขนาดใหญ่ซึ่งการเพิกถอนกุญแจของพนักงานอาจเป็นประโยชน์

ฉันสามารถจินตนาการได้ว่าเมื่อใช้คีย์ที่แชร์ซึ่งมีเพียงผู้ใช้หลายคนเท่านั้นที่สามารถใช้คีย์ (ดังนั้นคีย์ลับถูกแจกจ่าย) อาจต้องการใช้ตัวเลือกนี้ ลองนึกภาพสถานการณ์ที่กลุ่มหนึ่งตายไปหรือพวกเขาเป็นศัตรูกัน

กรณีการใช้งานครั้งที่สามจะให้ความสามารถแก่เพื่อนที่เชื่อถือได้ในการเพิกถอนคีย์ของคุณคล้ายกับการมอบใบรับรองการเพิกถอนที่พิมพ์ออกมาเพื่อจัดเก็บให้กับเขา

คีย์การเพิกถอนเป็นมาตรฐาน

ความสามารถนี้อนุญาตให้คนอื่นเพิกถอนคีย์ PGP ของคุณเฉพาะ GnuPG หรือเป็นส่วนหนึ่งของมาตรฐาน OpenPGP

การระบุคีย์การเพิกถอนถูกกำหนดโดย OpenPGP, RFC 4880 ดังนั้นจึงไม่เจาะจงกับ GnuPG

ในกรณีที่ผู้คน (เช่นฉัน) สับสนมีการชี้แจงเพิ่มเติมบางอย่างใน " วิธีสร้างใบรับรองการเพิกถอนหลังจากสร้าง Revoker ด้วย GnuPG " --edit-key / addrevoker ใช้เพื่อให้สิทธิ์แก่บุคคลอื่นในการสร้างใบรับรองการเพิกถอน ที่คนอื่นใช้ --desig-revoke เพื่อสร้างใบรับรองจริง