Revocation Certificate

Für den Fall, dass der Private Key anderen zugänglich wird oder eventuell die mit dem Schlüssel verbundene Mailadresse wegfällt, kann der Schlüssel zurück gezogen werden. Dazu muss ein Rückzugszertifikat erzeugt werden. Das geschiet mit dem Befehl

 gpg --gen-revoke UID

 

sec  1024D/G45ZK41 2007-09-27 Max Mustermann <max.mustermann@linuxmaker.com>

Create a revocation certificate for this key? (y/N) y
Please select the reason for the revocation:
  0 = No reason specified
  1 = Key has been compromised
  2 = Key is superseded
  3 = Key is no longer used
  Q = Cancel
(Probably you want to select 1 here)
Your decision? 3
Enter an optional description; end it with an empty line:
>
Reason for revocation: Key is no longer used
(No description given)
Is this okay? (y/N) y

You need a passphrase to unlock the secret key for
user: "Max Mustermann <max.mustermann@linuxmaker.com>"
1024-bit DSA key, ID C4105093, created 2007-09-27

ASCII armored output forced.
Revocation certificate created.

Please move it to a medium which you can hide away; if Mallory gets
access to this certificate he can use it to make your key unusable.
It is smart to print this certificate and store it away, just in case
your media become unreadable.  But have some caution:  The print system of
your machine might store the data and make it available to others!
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: A revocation certificate should follow

iEkEIBECAAkFAkdHKaACHQzzz2398261ztzyvmuasQQUJNCpACfSuQpRQ6
OtRGSfRHQxNcop8ImdyQAoIOH1dGuWaNaMHgLFQXqSiRrS1qD
=IIIQ
-----END PGP PUBLIC KEY BLOCK-----

Nach dieser interaktiven Session wird ein Zertifikat erzeugt. Dieses, inklusive der Zeilen "-----BEGIN PGP PUBLIC KEY BLOCK-----" und "-----END PGP PUBLIC KEY BLOCK-----" werden jetzt per Copy&Paste in eine aussagekräftige Datei z.B. revoke.txt geschrieben.

Im Fall des Widerrufs des Schlüssels importiert man das Zertifikat mit

gpg --import revoke.txt

in den Schlüsselbund. Mit dem nächsten Keyserver-Abgleich steht die Information dann auch im Internet zur Verfügung. Das importierte Zertifikat ist dann Teil des Public-Keys

gpg --list-sigs G45ZK41

pub   1024D/G45ZK41 2007-09-27 [revoked]

rev         G45ZK41 2007-09-27 Max Mustermann
uid                 Max Mustermann <max.mustermann@linuxmaker.com>
sig 3       G45ZK41 2007-09-27 Max Mustermann <max.mustermann@linuxmaker.com>

sub   2048g/E2D56JJC 2007-09-27

Den Rückruf kann man an dem rev am Zeilenbeginn erkennen.