OpenPGP主键可以撤销子项的子键吗？

Question

我想有以下设置:一个主键，保存在一个硬件钱包或纸钱包。让我们把这个叫做1级，这样的想法就是再也不用使用这个键了，作为最后的手段。

主键有一个子键，让我们将其称为2级，这个键位于主设备上，仍然遵循一些严格的安全规则，但它被积极地用于生成应用程序使用的子键。

级别2的子密钥，我们称之为3级密钥，遵循不太安全的规则，例如，在多个设备中重复，甚至可能通过存储云服务(加密)。

问题是:如果我的主要设备被盗或被破坏，我是否可以使用第1级密钥来撤销第2级和第3级密钥？

据我所知，只要第2级和第3级公钥被上传到密钥服务器上，就有可能遵循这条推力链。

Answer 1

您似乎混淆了OpenPGP的两个概念:子键和证书。

OpenPGP子项允许主键，它用于创建子项(从技术上讲，子项是独立创建的，但由主键使用绑定签名进行签名)。这样一组密钥(一个主键，任意数量的子键)被认为是OpenPGP中的单个信任单元，即。如果主密钥是可信的(信任子项不被认为是信任网络中的额外步骤)，则信任子项是可信的。

但是，没有所谓的“子项”--只有主键才允许绑定子项。您不能构造多层子项层次结构。

另一方面，主键之间也有证书.使用它们，您可以构建任意的信任网络(信任网络) --但是每个主密钥都被认为是一个信任实体，任何其他方都必须遵循信任链，手动在每个密钥上发出信任(与真正的子密钥不同，主密钥一旦被认为有效，就自动适用于子项)。

通常，考虑一个主键来形成标识--并且(一个级别的)子键可以用于密钥管理和“保持主密钥安全”。您必须不时地使用它--只允许使用主键来创建和操作用户it、子键和其他密钥上的证书。证书用于在这些身份之间提供信任声明。当然，您可以使用证书来构建这样的“二级子密钥层次结构”，但您正在打破对证书的预期使用，并且很难解释第三方信任的关键(以及用于什么目的)。