Comment utiliser la commande `–desig-revoke` de GnuPG?

Comment devrait --desig-revoke on utiliser la commande GnuPG – --desig-revoke , et dans quels cas devriez-vous l'utiliser? Selon le manuel:

– Répétez-vous le nom
Générer un certificat de révocation désigné pour une clé. Cela permet à un utilisateur (avec l'autorisation du titulaire de clé) de révoquer la clé de quelqu'un d'autre.

Et il y a une action connexe dans --edit-key :

Addrevoker
Ajoutez un révocateur désigné à la clé. Cela nécessite un argument optionnel: "sensible". Si un révocateur désigné est marqué comme sensible, il ne sera pas exporté par défaut (voir options d'exportation).

Deuxièmement, cette possibilité permet-il à quelqu'un d'autre de révoquer votre clé PGP GnuPG-spécifique ou fait-elle partie de la norme OpenPGP?

Délégation des révocations

Comment --desig-revoke commande GnuPG – --desig-revoke ?

La commande --desig-revoke ajoute un type particulier de signature à votre clé publique qui permet à une autre clé (ce que vous spécifiez) de créer des certificats de révocation pour votre clé à une date ultérieure. L'exécution de la commande ne crée pas réellement un certificat de révocation, mais elle permet simplement aux autres de le faire. Considérons-le comme une délégation de révocation.

Exécuter gpg --edit-key , suivi d' addrevoker fait exactement la même chose, mais à partir du menu d'édition de la clé.

Cas d'utilisation

… et dans quels cas devriez-vous l'utiliser?

Cela peut être particulièrement utile pour les grandes organisations, où la révocation centrale des clés des employés pourrait être utile.

Je peux également imaginer que lorsque vous utilisez des clés partagées, où seuls plusieurs utilisateurs peuvent utiliser la clé (de sorte que la clé secrète est distribuée), vous pouvez utiliser cette option, afin que chaque utilisateur puisse révoquer la clé individuellement. Imaginez une situation dans laquelle un des membres du groupe est décédé ou s'opposent.

Un troisième cas d'utilisation donnerait à un ami de confiance la possibilité de révoquer votre clé, de même que la remise d'un certificat de révocation imprimé pour son stockage.

Les clés de révocation sont normalisées

Est-ce que cette capacité permet à quelqu'un d'autre de révoquer votre clé PGP GnuPG-spécifique ou fait-elle partie de la norme OpenPGP?

La spécification des clés de révocation est définie par OpenPGP, RFC 4880 , donc ce n'est pas spécifique à GnuPG.

Dans le cas où les gens (comme moi) se confondent, des éclaircissements supplémentaires ont été fournis dans " Comment générer le certificat de révocation après avoir été révoqué avec GnuPG ". Le --edit-key / addrevoker est utilisé pour accorder l'autorisation à quelqu'un d'autre de générer le certificat de révocation; Que quelqu'un d'autre utilise --desig-revoke pour générer réellement le certificat.