FRage zu Widerruf-Zertifikaten

[Gregor Zattler]

Hi Christine,
* Christine Kremsmayr <c.kremsmayr at gmx.net> [22. Feb. 2016]:
> 1. So wie ich die Sache verstehe, ist das Erstellen eines
> Widerruf-Zertifikates eigentlich nur dann zweckmäßig, wenn der zu
> widerrufende Schlüssel auf einem Keyserver liegt. Wenn ich
> verschlüsselte Kommunikation in einem geschlossenen Benutzergruppe
> betreibe, bringt mir ein Widerruf-Zertifikat nicht -- ist das korrekt so?

Nicht ganz, denn:

> Ich muss dann halt alle meine Kommunikationspartner anschreiben und sie
> bitten, den alten öffentlichen Schlüssel nicht mehr zu benutzen und
> stattdessen einen neuen öffentlichen Schlüssel verteilen und die
> Komm.partner bitten, den neuen öffentlichen Schlüssel zu importieren und
> zu nutzen. Richtig?

Es ist richtig, dass Deine Kommunikationspartner den neuen
Schlüssel importieren müssen, sie müssen aber auch den alten
künftig ignorieren.  Sie sollten ihn nicht löschen, weil sie
damit alte Signaturen prüfen können.  Sie könnten ihn auch selbst
disablen, aber wer weiß schon wie das geht?  Wenn sie hingegen
das Widerrufzertifikat importieren (wie einen Schlüssel), dann
wird der Key disabled und bei der Auswahl eines
Verschlüsselungskeys künftig nicht angezeigt.

> 2. Noch eine Frage: Mit dem Erstellen des Widerruf-Zertifikates
> (--gen-revoke) passiert vorerst einmal gar nichts, solange ich das
> W-Zertifikat nicht auf déinen Schlüsselserver hochlade -- ist das korrekt?

Genau, solange niemand das Widerrufzertifikat kriegt, passiert
nichts. 

> 3. Wie ändert man den Widerruf-Grund eines W-Zertifikates? Einfach ein
> neues mit dem passenden Grund erstellen oder kann man ein vorhandenes
> wirklich bearbeiten (ich habe dazu nichts gefunden)?

Keine Ahnung.

Ciao, Gregor
-- 
 -... --- .-. . -.. ..--.. ...-.-