Next: Подпись других ключей, Prev: Пересылка открытого ключа на сервер ключей, Up: Участие во встрече
Отзывающий сертификат (revocation certificate) — это специальный
криптографический документ, позволяющий объявить открытый ключ
недействительным. Создать его необходимо сразу после генерации пары ключей,
пока секретный ключ доступен и не скомпрометирован. Для создания сертификата
используется команда gpg --gen-revoke KEYID, после чего GnuPG
запросит причину отзыва и парольную фразу.
Отзывающий сертификат следует хранить отдельно от секретного ключа, в надёжном месте — например, на зашифрованном USB-накопителе в сейфе или в виде распечатки на бумаге. Если секретный ключ будет утрачен или скомпрометирован, только с помощью отзывающего сертификата можно будет уведомить сообщество о том, что ключу больше нельзя доверять.
Современные версии GnuPG (начиная с 2.1) автоматически создают отзывающий
сертификат при генерации ключа и сохраняют его в каталоге
~/.gnupg/openpgp-revocs.d/. Тем не менее рекомендуется создать
дополнительную копию и хранить её в безопасном месте, недоступном через сеть.
Без отзывающего сертификата скомпрометированный ключ навсегда останется
на серверах ключей без пометки о недействительности.