Supongamos que estamos hablando de claves PGP / GPG, y que ha cargado su clave pública para iniciar sesión en uno de los principales servidores de claves PGP / GPG.
Si tiene curiosidad sobre cómo revocar un certificado, aquí tiene una Guía para revocar Certificados PGP / GPG
Teniendo en cuenta esas suposiciones:
Serán todas las cosas que he firmado en el pasado con esas subclaves
considerado "inválido"?
Sí. Mientras el software verifique los certificados de revocación, todo lo que se haya firmado en el pasado se considerará firmado con un certificado revocado. No impide que nadie pueda ver un documento o leer un correo electrónico. Ahora es a discreción del usuario confiar en la información o no.
¿La persona que robó mis llaves podrá firmar lo que quiera,
Suponiendo que la persona que realiza la validación no haya actualizado su llavero
en un tiempo y no sabe que el antiguo par de llaves de firma ha sido
revocado?
Si el atacante tiene su clave privada, puede firmar datos como si fueran de usted. Una vez que el certificado esté marcado como revocado en el servidor de claves, todo lo que firme el atacante también aparecerá como firmado por un certificado revocado. Una vez más, depende del usuario verificar los datos y decidir si confiar en ellos o no.
¿Existen otros peligros derivados de las claves de firma comprometidas que
¿Necesitas estar al tanto?
Las claves de firma se pueden usar para la identificación / verificación del usuario. Digamos que su empresa utiliza sus claves de firma para identificarlo en su red y le brinda acceso privilegiado. Los certificados comprometidos que no se revocan ahora pueden ingresar a la red de su empresa y obtener acceso como usted.
Todo esto está supeditado a que el software utilizado para la verificación verifique si se revoca un certificado y utiliza un servidor de claves. Hay varias opiniones de esta manera u otra.
Adam Langley ha escrito un interesante artículo sobre la verificación de la revocación .