Nico Jensen

Was kostet die Welt?! Achso... hm, dann nehm ich ne kleine Cola!

PGP-Key für ungültig erklären

Ich halte mein PGP-Key mit seiner 2048Bit für unsicher und werde mir einen stärkeren PGP-Key erstellen (bzw. habe ich schon erstellt).
Der alte PGP-Key soll natürlich nicht mehr benutzt werden. Also habe ich diesen für ungültig erklärt.
Da, wie ich finde, dieser Prozess nicht vollständig dokumentiert ist, mach ich dies mal hier für mich.

Schritt eins - PGP-Key ID rausfinden

Um die richtige PGP-Key ID raus zu finden, folgenden Befehl ausführen:

$ gpg --list-keys

Schritt zwei - PGP-Key ungültig machen

Um den PGP-Key für ungültig zu erklären, muss ein revoke Zertifikat erstellt werden.

$ gpg --gen-revoke F2307A84

F2307A84 ist dabei meine PGP-Key ID und muss natürlich je nach ID ausgetauscht werden.
Nach der Eingabe des Passphrase erscheint folgende Ausgabe:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.12 (GNU/Linux)  
Comment: A revocation certificate should follow

iHkEIBEIACEFAlPFS58aHQFOZXVlciBrZXkgYXVmIDQwOTYgYmFzaXMACgkQWuNL  
mPIweoQ/KQD/aGbKGypNvIVDGSnq1PaCa7NiLpGGjW3FwydB+sEaUq0A/R+dmLl5  
rgooEYrlwQcnDA9lv4e6QW0i1xKP5XPCVqlR  
=yuWk
-----END PGP PUBLIC KEY BLOCK-----

Dies ist das revoke Zertifikat und muss nun eingelesen werden.

Schritt drei - revoke Zertifikat einlesen

Dazu muss die eben erstellte Ausgabe in ein Textdokument geschrieben werden.
Das erzeugte Dokument dann wie folgt einlesen

$ gpg --import my_revocation.txt

Fertig. Das Zertifikat ist eingelesen.

Schritt vier - Keyserver synchronisieren

Nun muss das ungültig erklärte Zertifikat noch mit den Keyservern synchronisiert werden, damit andere dieses Zertifikat nicht mehr benutzen.

$ gpg --keyserver pgp.mit.edu --send-keys F2307A84

Geht man nun auf den PGP-Keyserver, in diesem Fall pgp.mit.edu, so wird das Zertifikat mit

*** KEY REVOKED *** 

gekennzeichnet.

BTW, mein neues Zertifikat hat die ID 04EE0F98.