GnuPGキーリングに複数のユーザーの公開鍵があります。ユーザーの 1 人が新しい公開鍵に切り替えました。私はまだ信頼されているユーザーの古いキーを持っていますultimate。私は彼の新しいキーに同じ信頼を割り当てました。
彼はもはや古いキーを使用しません。古い鍵はどうすればいいですか?信頼を撤回する必要がありますか、それとも信頼を取り消す必要がありますか?この状況で正しい手順は何ですか?
答え1
まず、最終的に他人の鍵に信頼を使用してはいけません。完全な信頼で十分です。。鍵自体を有効にするために最終信頼を発行すると誤解されます。信頼概念ネットワーク。彼のすべての認証があなたに有効になりたい場合(したがって信頼ネットワークの拡張)、同時に彼を認証すれば完全な信頼で十分です。
実際の質問について:状況によって異なります。
- 相手のキーはキャンセルできません。キーオーナーがキーをキャンセルしましたか?その場合、彼はキャンセルされた証明書をあなたに送らなければなりません。たとえば、再取得できるキーサーバーにアップロードします。鍵がキャンセルされると、とにかく信頼を気にする必要はなくなります。
- 鍵の所有者は鍵の制御権を失いましたが、鍵を取り消すことはできません。たとえば、誰かが一意のキーコピーを持つノートブックを盗んだが、所有者は証明書をキャンセルしなかった(とても悪い考え)。これで、信頼を取り消し、信頼を「無効」に設定することでこの状況を解決できます。また、所有者が鍵処理に大きな問題があるように見えるので、新しい鍵にも同じことを行うことを検討してください。これは変わりません。有効性それが彼のキーであれば(あなたが署名した場合)、発行された証明書が他の人の有効性の計算に使用されないことを保証するだけです。
キーオーナーその鍵をもう使いたくないしかし、まだそれを所有しており、自分が構築した信頼ネットワークで評判を維持したい(これを活用したいかもしれません)。新しいキーを取得し、古いキーをまったく気にしないでください。信頼を「究極」から「完全」に変更することに加えて。
誤って古いキーを暗号化したくない場合は、
gpg --edit-key [key-id]GnuPGdisableコマンドを実行して無効にしてください。
答え2
古いキーはキャンセルできません。所有者(秘密鍵を保持している人)のみがこれを実行できます。
以前のキーを使用して、相手が署名した以前の電子メールの署名を確認し続けたいので、キーリングからキーを完全に削除したくない場合があります。信頼レベルを変更することは私にとって間違った解決策のようです。これは暗黙的に、古い電子メールの署名がもはや以前のように信頼されていないことを意味します。
どうですか?障害を負う古い鍵?
無効化されたキーは通常暗号化には使用できません。
したがって、ソフトウェア(または自分自身)が誤って古いキーを使用してメッセージを暗号化することはできません。キーはキーリングに残り、その他は変更されません。