Лиценз на документа: CC Attribution-ShareAlike
Съдържание на лиценза: http://creativecommons.org/licenses/by-sa/2.5/
Архив със съдържанието на документацията: thunderbird-openpgp-howto-1.0.tar.gz
Електронен пощенски адрес за контакт с автора: виж файла "AUTHOR" в архива със съдържанието
Всички описани по-долу действия касаят менюто за управление на хранилището с OpenPGP сертификати.
Целта на отменящият сертификат е да покаже, че на даден сертификат не може да се има доверие по някаква причина. Отменящият сертификат се генерира само и единствено от собственика на частния ключ към сертификата. Строго погледнато, в сертификатния модел OpenPGP има възможност за делегиране на право друг, различен от собственика на частния ключ, да отменя сертификата, но за момента тази възможност не е явно реализирана в Enigmail и няма да бъде описана тук. Т.е. ще се приема, че само този, който притежава достъп до частния ключ на двойката в основа на сертификата, може да издаде отменящ сертификат за OpenPGP сертификата.
Ето и някои от причините, поради които се налага отмяна на даден OpenPGP сертификат:
Абсолютно наложително е собственикът да е наясно с опасността от безпричинното (или злонамерено) отменяне на OpenPGP сертификата му вследствие на неправилното боравене с генерирания отменящ сертификат. След като бъде генериран, отменящия сертификат трябва да се пази грижливо и на защитено от несанкциониран достъп място. Важна подробност е, че отменящия сертификат за един OpenPGP сертификат може да се генерира само, ако е наличен частния ключ на основната двойка ключове в OpenPGP сертификата. Следователно отменящ сертификат не може да се генерира при липсата на съотвения частен ключ. Именно затова се препоръчва да се издаде отменящ сертификат още при създаването на OpenPGP сертификата.
Ако отменящият сертификат не е добре защитен от несанкциониран достъп, то е възможно недоброжелател да се снабди със отменящия сертификат и злонамерено да отмени съотвения OpenPGP сертификат. Именно поради това опазването на отменящия сертификат е задача номер 1 на собственика на OpenPGP сертификата. Най-добрият начин за опазване на отменящия сертификат от несанксиониран достъп е той да бъде криптиран във файл.
За да се издаде отменящ сертификат се избира в списъка със сертификати в локалното хранилище, OpenPGP сертификата, който ще бъде отменян. Добре е пак да се напомни, че в локалното хранилище трябва да е наличен и частния ключ на основната двойка ключове за сертификата. Тези OpenPGP сертификати, за който в локалното хранилище за сертификати е налична основната двойка ключове, са показани с одебелен шрифт в списъка със сертификати:
Следва указване на местоположението и името на файла, в който ще се съдържа отменящия сертификат. Това става с помощта на файловия мениджър на Mozilla Thunderbid, който Enigmail автоматично извиква:
След като местоположението и името на файла, който съдържа отменящия сертификат бъде избрано, се появява прозореца за въвеждане на паролата за защита на частния ключ на основната двойка ключове на OpenPGP сертификата:
След правилното въвеждане на пролата следва генериране на отменящия сертификат. В края на процеса ще се появи прозорец, който предупреждава потребителя за евентуални проблеми при неправилното боравене с генерирания сертификат:
Натискането на бутона "OK" слага край на процедурата по генериране на отменящ сертификат.
Чрез Enigmail може да се издаде отменящ сертификат само за даден потребителски идентификатор, различен от главния (отмяната на главния идентификатор е равносилна на отмяна на сертификата). При това този сертификат веднага се прилага към OpenPGP сертификата и не се преминава през създаване на файл за съхранение на отменящия сертфикат. Както за генериране на отменящ сертификат за целия OpenPGP сертификат, така и за генериране на отменящ сертификат за потребителски идентификатор, различен от главния, се изисква наличието в локалното хранилище на частния ключ към основната двойка ключове в сертификата.
За да се генерира отменящ сертификат за даден потребителски идентификатор, различен от главния, се влиза в списъка с идентификатори на сертификата:
В него се избира този идентификатор, който трябва да се отмени:
и се натиска бутона "Revoke". Следва появата на диалог, в който се изисква потвърждение на желанието за отмяната:
След като в диалога се натисне бутона "Yes" ще бъде изискана паролата за защита на частния ключ на основната двойка на OpenPGP сертификата:
и след правилното й въвеждане, ще се появи съобщение за успешната отмняна на идентификатора:
След натискане на бутона "OK" ще се извърши връщане към списъка с идентификатори на сертификата, но отменения идентификатор ще бъде маркиран като "revoked":
| Предишна тема: 10. Актуализиране на OpenPGP сертификатите върху сървърите за сертификати спрямо локалното хранилище |
Следваща тема: 12. Отмяна на OpenPGP сертификат чрез отменящ сертификат |