Public-Key

如何驗證 GPG/PGP 密鑰撤銷?

  • January 30, 2019

在撤銷密鑰並將撤銷發送到MIT 的 keyserver後,我注意到密鑰是這樣列出的:

pub  2048R/XXXXXXXX 2011-01-01 *** KEY REVOKED *** [not verified]

誰負責“驗證撤銷”?密鑰的所有者是否進行此驗證?如果是這樣,這是如何實現的?其他人是否簽署了撤銷並在某個時候得到驗證?

如何驗證密鑰撤銷?

正如喬恩卡拉斯已經說過的那樣:你根本沒有。

如果不同的措辭有幫助,這裡有一個與完全相同的問題相關的引述…… https://lists.gnupg.org/pipermail/gnupg-users/2014-February/049100.html

> > 我撤銷了我的密鑰,在公鑰伺服器上顯示:“ *** KEY REVOKED *** > > $$ not verified $$” 為什麼說撤銷沒有經過驗證? >

這可能是指密鑰伺服器不進行加密檢查。這意味著:有一個數據包看起來像一個密鑰撤銷,但它可能是偽造的。如果 OpenPGP 應用程序從伺服器下載密鑰,那麼它會進行簽名檢查。

不,密鑰的使用者可以。由密鑰本身或指定的撤銷者發出的撤銷,這是一些不同的密鑰。

如果我要加密給你,我會先查看密鑰,然後查看你的密鑰是否被撤銷。同樣,如果我正在驗證您的密鑰所做的簽名,我會查看密鑰是否已被撤銷。

引用自:https://crypto.stackexchange.com/questions/2904