Как следует использовать команду `–desig-revoke` GnuPG?

Как следует использовать команду GnuPG --desig-revoke и в каких случаях вы должны ее использовать? Согласно руководству:

–desig-revoke name
Создайте назначенный сертификат отзыва для ключа. Это позволяет пользователю (с разрешения владельца ключа) отозвать чужой ключ.

И есть связанное действие в --edit-key :

addrevoker
Добавьте назначенный revoker к ключу. Это принимает один необязательный аргумент: «чувствительный». Если назначенный revoker отмечен как чувствительный, он не будет экспортироваться по умолчанию (см. Параметры экспорта).

Во-вторых, является ли эта возможность позволить кому-то другому отменить ваш ключ PGP GnuPG-специфический или он является частью стандарта OpenPGP?

    Делегирование референций

    Как следует использовать команду GnuPG --desig-revoke ?

    Команда --desig-revoke добавляет особый вид подписи к вашему открытому ключу, который позволяет другому ключу (который вы указываете) создавать сертификаты отзыва для вашего ключа позднее. Запуск команды фактически не создает сертификат аннулирования, он просто публично разрешает другим делать это. Рассматривайте это как делегацию отзыва.

    Запуск gpg --edit-key , за которым следует addrevoker делает то же самое, но изнутри меню редактирования ключей.

    Случаи использования

    … и в каких случаях следует использовать его?

    Это может быть особенно полезно для крупных организаций, где может быть полезно центральное аннулирование ключей сотрудников.

    Я также могу предположить, что при использовании общих ключей, где только несколько пользователей вместе могут использовать ключ (так что секретный ключ распределяется), возможно, захочет использовать этот параметр, поэтому каждый пользователь может индивидуально аннулировать ключ. Представьте себе ситуацию, в которой умерла одна из групп, или они противодействовали.

    Третий случай использования должен дать доверенному другу возможность отменить ваш ключ, аналогично передаче распечатанного сертификата отзыва для его хранения.

    Ключи отмены стандартизированы

    Является ли эта способность позволять кому-то другому отменить ваш ключ PGP GnuPG-специфический или он является частью стандарта OpenPGP?

    Указание ключей аннулирования определяется OpenPGP, RFC 4880 , поэтому оно не является специфичным для GnuPG.

    Если люди (например, я) запутались, появилось некоторое дополнительное разъяснение, приведенное в разделе « Как сгенерировать сертификат аннулирования после того, как вы сделали revoker с GnuPG ». --edit-key / addrevoker используется для предоставления разрешению кому-то другому генерировать сертификат аннулирования; Что кто-то другой использует --desig-revoke для фактического создания сертификата.

    Давайте будем гением компьютера.