04.07.2014
Ein Widerrufszertifikat ist eine Datei, deren Import in einen Keyring den jeweiligen Schlüssel komplett und unwiderruflich¹ ungültig macht.
Die einzelnen Komponenten eines Zertifikats (v.a. User-IDs (Name und E-Mail-Adresse) und Unterschlüssel) werden erst durch eine Unterschrift des Hauptschlüssels gültig, erst dadurch ein Teil des Zertifikats. Genauso kann man diese Komponenten durch eine entsprechende Unterschrift ungültig machen. Das ist auch mit dem Hauptschlüssel selber möglich – mit dem Unterschied, dass dieser sogenante Widerruf des Schlüssels endgültig¹ ist (für die Komponenten kann man das rückgängig machen).
Für den Hauptschlüssel – also den kompletten Schlüssel – wird das gemacht, indem zunächst eine Datei mit der Widerrufs-Unterschrift erzeugt und dann importiert wird. Das Verfahren ist anders, wenn Schlüsselkomponenten widerrufen werden; das geschieht unmittelbar im Keyring. Der Grund für diese unterschiedliche Handhabung ist, dass ein Widerrufszertifikat für den gesamten Schlüssel oftmals präventiv erzeugt wird, damit der Schlüssel noch widerrufen werden kann, wenn entweder der private Hauptschlüssel oder dessen Passphrase abhanden gekommen ist. Ein Widerrufszertifikat ist eine Art Notbremse.
Es gibt in diesem Sinn keine Widerrufszertifikate für Schlüsselkomponenten (auch wenn man etwas, das diesen Zweck erfüllt, mit Tricks erzeugen könnte). Dieser Begriff bezieht sich immer auf den Hauptschlüssel.
Ein präventiv erzeugtes Widerrufszertifikat hat nicht nur Vorteile, bzw. sein Vorteil ist gleichzeitig ein Nachteil: Wenn jemand Zugriff auf diese Datei bekommt, kann er ohne Eingabe einer Passphrase gegenüber der Öffentlichkeit den zugehörigen kompletten Schlüssel unwiderruflich unbrauchbar machen, was erhebliche Probleme auslösen kann, wenn man den Schlüssel braucht und nicht kurzfristig ersetzen kann, insbesondere bei guten Schlüsseln (Offline-Hauptschlüsseln). Man muss also den Vorteil einer besseren Widerrufsmöglichkeit gegen den Nachteil eines unerwünschten Widerrufs abwägen. Auf keinen Fall sollte man ein Widerrufszertifikat für einen Offline-Hauptschlüssel auf einem unsicheren System speichern; aber auch bei normalen Schlüsseln wäre es dumm, die Datei nur dort zu speichern, weil dann schon ein – nicht so unwahrscheinlicher – Rechnercrash (oder Fehler beim Löschen von Dateien) genügt, um sich dieser Möglichkeit zu berauben. Teil dieser Abwägung kann auch sein, dass man die Datei mit einer guten Passphrase verschlüsselt (was nicht vorgesehen ist; aber man kann diese Datei natürlich genauso symmetrisch verschlüsseln wie jede andere auch); das verringert die Widerrufsmöglichkeit (man könnte die Passphrase vergessen), aber auch das Missbrauchsrisiko.
Ein Widerrufszertifikat kann man auch später erzeugen; ein präventives Widerrufszertifikat hat nur dann einen konkreten Nutzen, wenn man entweder den privaten Hauptschlüssel oder die zugehörige Passphrase verliert. Und nicht einmal das ist wirklich schlimm, vor allem wenn der Schlüssel ein Ablaufdatum hat. Wirklich wichtig ist der Widerruf nur dann, wenn der Schlüssel kompromittiert wurde, also jemand Zugriff auf wenigstens einen der privaten Schlüssel bekommen hat; und auch dann braucht man nicht den ganzen Schlüssel zu widerrufen, wenn nur ein Unterschlüssel betroffen ist und man den privaten Hauptschlüssel noch benutzen kann.
Wer meint, ein Widerrufszertifikat sicher verwahren zu können, der sollte auch ein Backup von (geheimem) Schlüssel und Passphrase verwahren können – und dann braucht er kein Widerrufszertifikat. Da ein kompromittierter Schlüssel größeren Schaden anrichtet als ein unerwünscht widerrufener, darf der Schutz des Widerrufszertifikats durchaus geringer sein als der des Offline-Hauptschlüssels, aber er sollte immer noch angemessen hoch sein.
¹ Solange eine Widerrufssignatur – egal ob für Hauptschlüssel, User-ID, Unterschlüssel oder sonst irgendwas – nicht in die Öffentlichkeit (z.B. Keyserver) und auch nicht in die Hände einzelner Dritter gelangt ist, kann man den Widerruf mit Tricks (d.h. Handarbeit in der Konsole mit gpg) noch rückgängig machen. Bei Schlüsselkomponenten kann man das in gewisser Weise auch dann noch, wenn der Widerruf öffentlich geworden ist (nämlich durch eine neuere Signatur); bei Hauptschlüsseln (also richtigen Widerrufszertifikaten) geht das nicht.