Digamos que firmo la clave de alguien y luego decido que fue una mala idea , o bien fue una mala idea. o debería haberlo firmado con un nivel de confianza diferente. ¿Es posible, tanto de forma teórica como práctica, "anular la firma" de la clave de otra persona?
Si la firma aún se mantiene solo localmente (ya sea nunca enviándola a nadie o a los servidores clave, o incluso si se realiza un lsign que crea firmas que no se pueden cargar), puede eliminarla ejecutando
gpg --edit-key [keyid]
[select a uid]
delsig
[go through the assistant for deleting signatures]
save
Si ya se envió una firma a los servidores clave, aún puede eliminarla localmente, pero no podrá eliminar nada de los servidores clave. La infraestructura del servidor de claves OpenPGP está diseñada para no eliminar / olvidar nada, para resistir los ataques de eliminación (donde el atacante quiere eliminar, por ejemplo, su clave).
En lugar de eliminar la firma, ahora revoca . Esta vez, ejecuta
gpg --edit-key [keyid]
revsig
[go through the assistant for revoking signatures]
save
Ahora debe cargar el certificado de revocación (que indica más o menos "Este certificado invalida la firma que hice a partir de una fecha dada por el motivo") en los servidores clave ejecutando gpg --send-key [key-id] .
Tan pronto como la revocación se sincronice a través de los servidores clave (algunos minutos) y otros usuarios actualizarán la clave [keyid] (tiempo desconocido, posiblemente bastante largo), la firma revocada no se tendrá más en cuenta al calcular validez y se mostrará como revocado al enumerar las firmas.
No puede anular la firma, pero puede revocar su firma en su clave. Una vez que alguien haya sincronizado tanto la firma original como la revocación, su IU debería mostrar ambas y ya no usará la firma en los cálculos de confianza. Para hacer esto con GnuPG:
gpg --edit-key KEYID
revsig
<Supply a reason>
gpg --send-key KEYID # Upload key to keyserver, or
gpg --armor --export KEYID # Manual upload to keyserver
Lea otras preguntas en las etiquetas pgp web-of-trust