--gen-revokeは、失効証明書を発行するためのコマンドです。
コマンドは以下のように入力します。
gpg --gen-revoke [検索語句]
例:
gpg --gen-revoke Taro
gpg --gen-revoke example.com
入力すると、検索語句に当てはまる秘密鍵の情報が以下のように表示されます。
sec [鍵のビット数][鍵の暗号化の種類]/[鍵ID] [作成された年]-[月]-[日] [ユーザー名] ([コメント]) <[メールアドレス]>
例:
sec 1024D/25B39DDA 2009-08-06 Example Jiro (I'm not Taro) <example_jiro@example.com>
情報の後にこれで良いかと尋ねられますので、問題がなければyを入力します。
続いて、次の選択肢が現れます。
失効の理由を選択してください:
0 = 理由は指定されていません
1 = 鍵がパクられました
2 = 鍵がとりかわっています
3 = 鍵はもう不用です
Q = キャンセル
(ここではたぶん1を選びます)
あなたの決定は?
これら選択肢は、失効証明書を発行する理由であり、特に理由がなければ1を選ぶことを推奨しているようです。
予備の説明を入力。空行で終了:
>
続いて、予備の説明を入力します。
必要があれば、上記の説明からさらに踏み込んだ説明を書いておくといいでしょう。
次に、一度確認があって、失効証明書の作成が開始されます。
次のユーザーの秘密鍵のロックを解除するには
パスフレーズがいります:“[ユーザー名] ([コメント]) <[メールアドレス]>”
[鍵のビット数]ビット[鍵の暗号化の種類]鍵, ID [鍵ID]作成日付は[作成された年]-[月]-[日]
例:
次のユーザーの秘密鍵のロックを解除するには
パスフレーズがいります:“Example Jiro (I'm not Taro) <example_jiro@example.com>”
1024ビットDSA鍵, ID ZZZZZZZZ作成日付は2009-08-01
失効証明書の作成には、秘密鍵のパスフレーズが必要になります。
間違えないように入力してください。
入力を終えると、失効証明書がASCII形式で出力されることの説明と、決して失効証明書が流出しないようにとの警告分が現れ、最後に失効証明書本体が表示されます。
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: [GnuPGのバージョン]
Comment: [これら一連が失効証明書であることの宣言]
[失効証明書データ]
-----END PGP PUBLIC KEY BLOCK-----
例:
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.9 (MingW32)
Comment: A revocation certificate should follow
iEkEIBECAAkFAkqMAHsCHZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZNjP/uLs9KCy3w
g/X1QKUAn3gf/v/vLirxrM706hpkZTY4Dnt2
=5RoR
-----END PGP PUBLIC KEY BLOCK-----
これで執行証明書の作成は完了です。
外部ファイルに失効証明書を書き出す場合は、オプション「
--output」を参照。
なお、執行証明書の利用は以下のように--importコマンドを使っておこないます。
gpg --import [執行証明書ファイル名]
例:
gpg --import taro_crash.asc
こうして失効証明書が適用された公開鍵を鍵サーバーにアップロードすることで、手元だけではなくネット上にある鍵も無効化することができます。