PGP と GnuPG

鍵失効証明書の生成

鍵失効証明書を生成するには、 --gen-revoke オプションを使用します。 コマンドを実行すると、鍵失効証明書を作成するかどうかの確認と対象となる鍵のパスフレーズ入力が求められます。

C:\>gpg --gen-revoke (鍵失効証明書生成対象の鍵 ID) --armor --output revocation.asc

この例では、鍵失効証明書が C:\ 直下に revocation.asc として生成されます。 生成されたファイルをフロッピーディスクに保存したり、プリントアウトするなどして、安全な場所に保管しておきましょう。 生成された鍵失効証明書を利用することで、誰もが鍵を失効させることができるようになりますので、くれぐれも保管場所には注意してください。

なお、この作業だけでは、鍵は失効しません。 実際に鍵を失効させるには、鍵失効証明書を鍵束にインポートする必要があります。

鍵の失効

鍵失効証明書をインポートする

実際に鍵を失効させる場合は、まず最初に、あらかじめ生成・保存しておいた鍵失効証明書を鍵束にインポートします。

C:\>gpg --import A:\revocation.asc

この例では、 A:\ 直下に revocation.asc として保存しておいた鍵失効証明書をインポートしています。 特に問題がなければ、

C:\>gpg --list-key (失効済みの鍵 ID)
pub   1024D/???????? ????-??-?? [失効: 2006-05-01]
uid                  Sample <sample@example.com>

のように、対象の鍵が失効していることが確認できるはずです。

鍵失効証明書を適用した公開鍵をエクスポートする

次に、公開鍵サーバに公開鍵の失効を通知するために、鍵失効証明書を適用した(失効済みの)公開鍵をエクスポートし、その内容を公開鍵サーバに登録します。

C:\>gpg --armor --export (失効済みの鍵 ID) --output revokedkey.asc

この例では、鍵失効証明書が C:\ 直下に revocation.asc として生成されます。 生成された内容をお好みの公開鍵サーバの登録フォームに貼り付けて、送信してください。

なお、 --keyserver オプションを利用すると、 GnuPG から公開鍵サーバに直接登録することもできます。 例えば、

C:\>gpg --keyserver pgp.nic.ad.jp --send-keys (失効済みの鍵 ID)

とすると JPNIC の公開鍵サーバに失効済みの鍵を登録することができます。