¿Es sensible el certificado de revocación de PGP?

De qué se trata un certificado de revocación

El peor caso al perder el acceso a una clave de OpenPGP es que probablemente se publique en los servidores de claves, y ya no tienes ninguna posibilidad de marcarla como no válida, se quedará allí para siempre, y le dirá a todos "hey, esa es mi clave. , úsalo ".

Un certificado de revocación le permite revocar su clave OpenPGP si perdió el acceso a su clave privada al publicarlo en los servidores de claves.

  

Además de revocar la clave, ¿hay algo más para lo que se pueda (ab) usar? ¿Puedo asegurarme de que se almacena de manera confiable pero no preocuparme por su confidencialidad?

Quien tenga acceso a él, puede revocar su clave OpenPGP. Esto no se puede deshacer una vez publicado. Al usar el certificado de revocación, no se puede obtener más acceso: no incluye la clave privada.

  

Si tuviera que adivinar que un certificado de revocación es "Declaro revocado ¡DEJE QUE LO CONOZCA! - Firmado por" pero realmente me gustaría saberlo.

Al final, eso es exactamente lo que es. Un certificado de revocación es un tipo especial de firma en su clave OpenPGP que tiene un conjunto de bits de "revocación".

Cómo crear un certificado de revocación

Se puede crear un certificado de revocación usando gpg --gen-revoke . Desde man gpg :

   --gen-revoke name
          Generate a revocation certificate for the complete key.  To
          revoke a subkey or a signature, use the --edit command.

Recomiendo almacenarlo digitalmente en un lugar seguro, pero también imprimirlo ( qrencode para codificar el certificado de revocación blindado ASCII puede hacer un gran trabajo aquí si no quiere usar OCR) y depositarlo Con alguien que conoces muy bien y confía.

Recuerda, incluso si rompes con esa persona, todo lo que puede hacer es revocar tu clave, no tener acceso a ella. Como puede agregar una descripción, incluso puede saber qué certificado se usó para revocar su clave y dejar que la persona sepa eso para disuadirlo.