如果我的签名子密钥被泄露了，会发生什么？

Question

假设我的子键被破坏了，但是我的主键盘是安全的，所以我撤销旧的子键并发出新的。

使用加密密钥，结果非常清楚:我仍然可以解密用密钥加密的新旧消息，但密钥窃贼也可以。

，但是我的签名钥匙呢？

我过去与这些子项签署的所有内容是否都被视为“无效”？

盗取我的钥匙的人会不会签署他想要的任何东西，假设进行验证的人已经有一段时间没有更新他们的密钥环了，并且不知道旧的签名键盘已经被撤销了？

是否还有其他危险是由我需要注意的被泄露的签名密钥引起的？

Answer 1

假设我们讨论的是PGP/GPG密钥，并且您已经将您的公钥上传到主要的PGP/GPG密钥服务器之一。

如果您想知道如何撤消证书，下面是一个撤销PGP/GPG证书指南.

考虑到这些假设：

我过去与这些子项签署的所有内容是否都被视为“无效”？

是。只要软件检查证书是否被撤销，过去签署的任何证书都将被视为与已撤销的证书签署。它不会阻止任何人查看文档或阅读电子邮件。现在，用户可以自行决定是否信任这些信息。

盗取我的钥匙的人会不会签署他想要的任何东西，假设进行验证的人已经有一段时间没有更新他们的密钥环了，并且不知道旧的签名键盘已经被撤销了？

如果攻击者拥有您的私钥，那么他们可以对数据进行签名，就好像数据来自您一样。一旦证书在密钥服务器中标记为已撤销，攻击者签署的任何证书都将由已撤销的证书签名。同样，要由用户来验证数据，并决定是否信任它。

是否还有其他危险是由我需要注意的被泄露的签名密钥引起的？

签名密钥可用于用户标识/验证。假设您的公司使用您的签名密钥在他们的网络上识别您，并为您提供特权访问。未被撤销的受损证书现在可以进入您公司的网络，并以您的身份获得访问权限。

所有这些都取决于用于验证的软件--实际检查证书是否被撤销，以及使用密钥服务器。对这种或那种方式有各种各样的意见。

亚当兰利写了一个有趣的关于撤销检查的文章。