如何使用吊销证书，对于同一个私钥是否可以有多个吊销证书？

Question

我刚刚为我的密钥生成了一个撤销证书。不幸的是，我没有完全理解这个概念。以下是我的问题：

1. 我到底该怎么用呢？例如，假设我的私钥被泄露。我到底要怎么处理我的撤销证书？例如，给我所有的熟人发一封电子邮件，说：“看，私钥泄露了，这是吊销证书吗？”(为什么不只是“看，私钥泄露了”？)我是否应该在我的网站上发布撤销证书，以防私钥被泄露？
2. 如果我在GnuPG中重新运行相同的命令，我会得到不同的吊销证书吗？还是严格依赖于私钥，这样就可以给出私钥一个和一个撤销证书吗？

Answer 1

您可以使用先前由GPG生成的吊销证书来证明您撤销证书的意图。

我到底要怎么处理我的撤销证书？例如，给我所有的熟人发一封电子邮件，说：“看，私钥泄露了，这是吊销证书吗？”(为什么不只是“看，私钥泄露了”？)

场景:你的钥匙丢了。如果攻击者告诉熟人“看，我丢失了钥匙”未签名，收件人如何证明真伪？你和攻击者不能签消息。在这种情况下，证书吊销会阻止DoS。

场景:密钥被泄露了。您和攻击者都可以对消息进行签名并发送吊销证书。因此，发送一封电子邮件“看，我的密钥被泄露了”是没有意义的。这是新的证书“因为您和攻击者都可以签名和撤销邮件。”一旦你警告你的熟人，你就必须重新谈判一份带外的证书。

如果我在GnuPG中重新运行相同的命令，我会得到不同的吊销证书吗？

我没有这个信息，但我能猜出答案。两个吊销证书一旦存储一些可变信息(比如时间戳)，可能是二进制相等的，也可能不是二进制的(自己尝试一下)。

但是一般来说，撤销证书必须绑定到公钥上，这是熟人所能知道的唯一信息，所以无论什么情况下，它都应该是相同的。