No dobrze, ale co zrobić, jeśli ktoś zdobędzie nasz klucz prywatny? Jeśli nawet nie zna hasła chroniącego klucz prywatny, bardzo możliwe, że w niedługim czasie klucz ten pozna np. poprzez atak słownikowy. ByćmożeByć może z jakiegoś innego powodu będziemy musieli zmienić klucz publiczny? Aby to zrobić, musimy po prostu unieważnić nasz stary klucz i poinformować o tym znajomych. Do tego celu musimy wygenerować certyfikat unieważniający klucz. Dobrym pomysłem jest wygenerowanie go wcześniej i zachowanie w bezpiecznym miejscu na innym medium niż znajduje się sam klucz prywatny. Wtedy w razie np. awarii dysku będziemy w stanie chociaż unieważnić klucz, którego już nie posiadamy. Do generowania takiego certyfikatu służy opcja ''--gen-revoke [nazwa]'', która jako argument przyjmuje identyfikator klucza dla którego chcemy wygenerować certyfikat (aby to zrobić musimy posiadać klucz prywatny). Będziemy musieli odpowiedzieć na klika prostych pytań (odpowiedzi wytłuściłem), cały proces przedstawiam poniżej. Możemy użyć opcji ''--output [plik]'', jeśli chcemy, aby zamiast na ekran, klucz został zapisany w podanym pliku. Oczywiście odpowiedzi mogą być inne i ściśle zależą od okoliczności.
$ gpg --gen-revoke adres
Linia 332:
$
Teraz, aby dokonać unieważnienia, wystarczy zaimportować taki certyfikat jak zwykły klucz. Niżej podaję przykład tekiejtakiej operacji. Prawdopodobnie będziemy po tym chcieli wyeksportować ten unieważniony klucz do serwera kluczy. Nie ma możliwości dokonania operacji odwrotnej - raz unieważniony klucz nie może stać się znów ważny.
