Как сгенерировать сертификат аннулирования после создания отзыва с помощью GnuPG

Я прочитал « Как следует использовать команду` –desig-revoke` команды GnuPG? »Вопрос / ответ, поэтому теперь я знаю, когда использовать -desig-revoke.

Итак, у меня есть два разных секретных ключа – один на работе (WORKWORK) и один на дому (HOMEHOME). При подготовке к худшему (в сегодняшней экономике, не плохая идея), я хочу, чтобы иметь возможность отозвать мой идентификатор работы из дома.

Я надеялся, что смогу использовать полученные знания, чтобы иметь возможность установить это. На работе я использовал addrevoker (внутренний эквивалент –desig-revoke, потому что мой gpg -help не показывал -desig-revoke как вариант), без чувствительного аргумента, чтобы мой домашний ключ мог Сгенерируйте сертификат аннулирования для моего рабочего ключа. Затем я экспортировал свой открытый ключ на работу и импортировал его дома.

После импорта я вижу:

cmd.exe> gpg --list-keys path/to/pubring.gpg ------------------------------------------------ pub 4096R/HOMEHOME 2010-12-11 uid [ultimate] PryrtCJ <[email protected]> sub 4096R/________ 2010-12-11 sub 4096R/________ 2014-11-22 [expires: 2015-12-31] sub 4096R/________ 2014-11-22 [expires: 2015-12-31] pub 4096R/WORKWORK 2010-12-15 uid [ full ] PryrtCJ <[email protected]> sub 4096R/________ 2010-12-15 

И проверить, что результаты addrevoke распространяются дома:

 cmd.exe> gpg --edit-key WORKWORK gpg (GnuPG) 2.0.26; Copyright (C) 2013 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. This key may be revoked by RSA key HOMEHOME [email protected] pub 4096R/WORKWORK created: 2010-12-15 expires: never usage: SC trust: full validity: full sub 4096R/________ created: 2010-12-15 expires: never usage: E [ full ] (1). PryrtCJ <[email protected]> 

Поэтому у меня, очевидно, есть разрешение на отмену моего рабочего ключа. Но когда я пытаюсь, все, что я получаю, это ошибка:

 cmd.exe> gpg --output revoke-WORKWORK.asc --gen-revoke WORKWORK gpg: secret key "WORKWORK" not found: Unknown system error 

Итак, как я могу сгенерировать сертификат аннулирования с помощью моего нового разрешения?

    Не используйте --gen-revoke , но вместо этого --desig-revoke . От man gpg :

     --desig-revoke name Generate a designated revocation certificate for a key. This allows a user (with the permission of the keyholder) to revoke someone else's key. 

    GnuPG спросит вас, хотите ли вы создать сертификат отзыва для этого другого ключа, например, отменив 0xdeadbeef с помощью ключа, который вы используете:

     $ gpg --desig-revoke 0xDEADBEEF pub 1024R/DEADBEEF 2015-02-25 Alice To be revoked by: sec 2048R/E6F0D5F6 2015-02-25 Bob Create a designated revocation certificate for this key? (y/N) [...] 

    --desig-revoke выдаст сертификат аннулирования ascii-брони.

    Давайте будем гением компьютера.