Artifact
f1886a2353b2551aaa3d5cc9ec7bd7cdd15b9d29:
Wiki page
[keyrevokation] by
bernd
2014-04-28 00:33:03.
0000: 44 20 32 30 31 34 2d 30 34 2d 32 38 54 30 30 3a D 2014-04-28T00:
0010: 33 33 3a 30 33 2e 36 31 36 0a 4c 20 6b 65 79 72 33:03.616.L keyr
0020: 65 76 6f 6b 61 74 69 6f 6e 0a 50 20 62 61 31 66 evokation.P ba1f
0030: 66 31 39 38 32 61 63 39 65 64 61 34 30 38 35 31 f1982ac9eda40851
0040: 31 34 64 32 33 35 37 62 33 39 33 30 35 35 63 36 14d2357b393055c6
0050: 63 64 61 32 0a 55 20 62 65 72 6e 64 0a 57 20 32 cda2.U bernd.W 2
0060: 36 38 38 0a 3c 68 31 3e 4b 65 79 20 52 65 76 6f 688.<h1>Key Revo
0070: 63 61 74 69 6f 6e 3c 2f 68 31 3e 0a 0a 3c 70 3e cation</h1>..<p>
0080: 4b 65 79 20 72 65 76 6f 63 61 74 69 6f 6e 20 28 Key revocation (
0090: 66 6f 72 20 50 4b 49 73 20 77 69 74 68 6f 75 74 for PKIs without
00a0: 20 63 65 72 74 69 66 69 63 61 74 69 6f 6e 20 61 certification a
00b0: 75 74 68 6f 72 69 74 69 65 73 29 20 75 73 75 61 uthorities) usua
00c0: 6c 6c 79 20 69 73 20 64 6f 6e 65 0a 77 69 74 68 lly is done.with
00d0: 20 61 20 73 69 67 6e 61 74 75 72 65 20 6f 66 20 a signature of
00e0: 74 68 65 20 6c 6f 73 74 20 6b 65 79 2c 20 69 2e the lost key, i.
00f0: 65 2e 20 62 6f 74 68 20 74 68 65 20 6f 77 6e 65 e. both the owne
0100: 72 20 61 6e 64 20 74 68 65 20 61 64 76 65 72 73 r and the advers
0110: 61 72 79 20 63 61 6e 0a 72 65 76 6f 6b 65 20 61 ary can.revoke a
0120: 20 63 6f 6d 70 72 6f 6d 69 73 65 64 20 6b 65 79 compromised key
0130: 2e 20 26 6e 62 73 70 3b 48 6f 77 65 76 65 72 2c . However,
0140: 20 74 68 65 20 69 6d 70 6f 72 74 61 6e 74 20 66 the important f
0150: 75 6e 63 74 69 6f 6e 20 69 6e 20 63 61 73 65 20 unction in case
0160: 6f 66 20 61 0a 72 65 76 6f 63 61 74 69 6f 6e 20 of a.revocation
0170: 69 73 20 64 65 63 6c 61 72 69 6e 67 20 74 68 65 is declaring the
0180: 20 73 75 63 63 65 73 73 6f 72 20 6b 65 79 2c 20 successor key,
0190: 77 68 69 63 68 20 72 65 65 73 74 61 62 6c 69 73 which reestablis
01a0: 68 73 20 74 72 75 73 74 2e 20 54 6f 20 64 6f 0a hs trust. To do.
01b0: 74 68 61 74 2c 20 79 6f 75 20 6d 75 73 74 20 61 that, you must a
01c0: 63 74 75 61 6c 6c 79 20 70 72 6f 6f 66 20 74 68 ctually proof th
01d0: 61 74 20 79 6f 75 20 61 72 65 20 74 68 65 20 6c at you are the l
01e0: 65 67 69 74 69 6d 61 74 65 20 6f 77 6e 65 72 20 egitimate owner
01f0: 6f 66 20 74 68 65 20 65 78 70 6f 73 65 64 0a 73 of the exposed.s
0200: 65 63 72 65 74 20 6b 65 79 2c 20 73 6f 20 68 6f ecret key, so ho
0210: 77 20 64 6f 20 79 6f 75 20 64 6f 20 74 68 61 74 w do you do that
0220: 3f 20 26 6e 62 73 70 3b 41 66 74 65 72 20 61 6c ? After al
0230: 6c 2c 20 74 68 65 20 61 64 76 65 72 73 61 72 79 l, the adversary
0240: 20 68 61 73 20 73 74 6f 6c 65 6e 0a 69 74 21 3c has stolen.it!<
0250: 62 72 3e 0a 3c 2f 70 3e 0a 0a 3c 70 3e 54 68 65 br>.</p>..<p>The
0260: 72 65 66 6f 72 65 2c 20 74 68 65 20 72 65 71 75 refore, the requ
0270: 69 72 65 6d 65 6e 74 73 20 61 72 65 20 61 73 20 irements are as
0280: 66 6f 6c 6c 6f 77 73 3a 3c 2f 70 3e 0a 0a 3c 70 follows:</p>..<p
0290: 3e 3c 2f 70 3e 0a 3c 75 6c 3e 0a 3c 6c 69 3e 4f ></p>.<ul>.<li>O
02a0: 6e 6c 79 20 74 68 65 20 63 72 65 61 74 6f 72 20 nly the creator
02b0: 6f 66 20 74 68 65 20 73 65 63 72 65 74 20 6b 65 of the secret ke
02c0: 79 20 63 61 6e 20 72 65 76 6f 6b 65 20 69 74 3c y can revoke it<
02d0: 2f 6c 69 3e 0a 3c 6c 69 3e 41 20 74 68 69 65 66 /li>.<li>A thief
02e0: 20 6f 66 20 74 68 65 20 73 65 63 72 65 74 20 6b of the secret k
02f0: 65 79 20 63 61 6e 27 74 20 28 69 2e 65 2e 20 66 ey can't (i.e. f
0300: 75 72 74 68 65 72 20 69 6e 66 6f 72 6d 61 74 69 urther informati
0310: 6f 6e 20 69 73 20 6e 65 63 65 73 73 61 72 79 29 on is necessary)
0320: 3c 2f 6c 69 3e 0a 3c 6c 69 3e 52 65 76 6f 63 61 </li>.<li>Revoca
0330: 74 69 6f 6e 20 6d 75 73 74 20 70 72 65 73 65 6e tion must presen
0340: 74 20 61 20 74 72 75 73 74 77 6f 72 74 68 79 20 t a trustworthy
0350: 72 65 70 6c 61 63 65 6d 65 6e 74 20 6b 65 79 3c replacement key<
0360: 2f 6c 69 3e 0a 3c 6c 69 3e 54 68 69 72 64 20 70 /li>.<li>Third p
0370: 61 72 74 69 65 73 20 6d 75 73 74 20 74 72 75 73 arties must trus
0380: 74 20 62 6f 74 68 20 74 68 65 20 72 65 76 6f 63 t both the revoc
0390: 61 74 69 6f 6e 20 61 6e 64 20 74 68 65 20 72 65 ation and the re
03a0: 70 6c 61 63 65 6d 65 6e 74 20 6b 65 79 0a 77 69 placement key.wi
03b0: 74 68 6f 75 74 20 61 6e 6f 74 68 65 72 20 74 72 thout another tr
03c0: 75 73 74 77 6f 72 74 68 79 20 69 6e 73 74 61 6e ustworthy instan
03d0: 63 65 2c 20 69 2e 65 2e 20 74 72 75 73 74 69 6e ce, i.e. trustin
03e0: 67 20 6f 6e 6c 79 20 74 68 65 69 72 20 63 6f 6d g only their com
03f0: 6d 75 6e 69 63 61 74 69 6f 6e 0a 70 61 72 74 6e munication.partn
0400: 65 72 3c 2f 6c 69 3e 0a 3c 2f 75 6c 3e 0a 0a 3c er</li>.</ul>..<
0410: 70 3e 3c 2f 70 3e 49 20 63 72 65 61 74 65 20 74 p></p>I create t
0420: 77 6f 20 72 61 6e 64 6f 6d 20 6e 75 6d 62 65 72 wo random number
0430: 20 73 31 20 61 6e 64 20 73 32 2e 20 26 6e 62 73 s1 and s2. &nbs
0440: 70 3b 55 73 69 6e 67 20 74 68 65 73 65 20 6e 75 p;Using these nu
0450: 6d 62 65 72 73 2c 20 49 0a 63 72 65 61 74 65 20 mbers, I.create
0460: 70 75 62 6b 65 79 73 20 70 31 3d 62 61 73 65 2a pubkeys p1=base*
0470: 28 73 31 29 20 61 6e 64 20 70 32 3d 62 61 73 65 (s1) and p2=base
0480: 2a 28 73 32 29 2e 20 26 6e 62 73 70 3b 49 20 63 *(s2). I c
0490: 6f 6d 70 75 74 65 20 28 73 29 3d 28 73 31 2a 70 ompute (s)=(s1*p
04a0: 32 29 20 61 73 0a 22 77 6f 72 6b 20 73 65 63 72 2) as."work secr
04b0: 65 74 22 20 28 69 2e 65 2e 20 74 68 65 20 73 65 et" (i.e. the se
04c0: 63 72 65 74 20 6b 65 79 20 74 68 61 74 20 69 73 cret key that is
04d0: 20 70 72 6f 76 69 6e 67 20 6d 79 20 69 64 65 6e proving my iden
04e0: 74 69 74 79 29 2c 20 61 6e 64 0a 70 3d 62 61 73 tity), and.p=bas
04f0: 65 2a 28 73 29 2c 20 6d 79 20 70 75 62 6b 65 79 e*(s), my pubkey
0500: 2e 20 26 6e 62 73 70 3b 49 20 70 75 62 6c 69 73 . I publis
0510: 68 20 70 20 61 6e 64 20 70 31 2c 20 77 68 69 63 h p and p1, whic
0520: 68 20 74 6f 67 65 74 68 65 72 20 61 72 65 20 73 h together are s
0530: 74 6f 72 65 64 20 61 73 0a 69 64 65 6e 74 69 74 tored as.identit
0540: 79 2e 20 26 6e 62 73 70 3b 54 68 65 20 61 73 73 y. The ass
0550: 75 6d 70 74 69 6f 6e 20 69 73 20 74 68 61 74 20 umption is that
0560: 70 31 20 63 61 6e 27 74 20 62 65 20 72 65 76 65 p1 can't be reve
0570: 72 73 65 64 20 74 6f 20 67 65 74 20 73 31 2c 20 rsed to get s1,
0580: 61 6e 64 20 70 0a 77 6f 6e 27 74 20 72 65 76 65 and p.won't reve
0590: 61 6c 20 73 2e 20 26 6e 62 73 70 3b 41 6e 20 61 al s. An a
05a0: 74 74 61 63 6b 65 72 20 77 68 6f 20 73 74 6f 6c ttacker who stol
05b0: 65 20 73 20 63 61 6e 27 74 20 67 75 65 73 73 20 e s can't guess
05c0: 73 31 2c 20 62 65 63 61 75 73 65 20 68 65 0a 64 s1, because he.d
05d0: 6f 65 73 6e 27 74 20 68 61 76 65 20 70 32 2c 20 oesn't have p2,
05e0: 61 6e 64 20 73 6f 20 69 74 27 73 20 65 76 65 6e and so it's even
05f0: 20 6d 6f 72 65 20 64 69 66 66 69 63 75 6c 74 20 more difficult
0600: 74 6f 20 67 65 74 20 73 32 2e 20 26 6e 62 73 70 to get s2.  
0610: 3b 41 6e 20 61 74 74 61 63 6b 65 72 0a 77 68 6f ;An attacker.who
0620: 20 73 74 6f 6c 65 20 73 20 63 61 6e 20 67 65 6e stole s can gen
0630: 65 72 61 74 65 20 61 20 6e 65 77 20 70 61 69 72 erate a new pair
0640: 20 6f 66 20 70 31 2c 20 70 32 2c 20 62 75 74 20 of p1, p2, but
0650: 74 68 61 74 20 77 6f 75 6c 64 20 67 69 76 65 20 that would give
0660: 68 69 6d 20 61 0a 64 69 66 66 65 72 65 6e 74 20 him a.different
0670: 69 64 65 6e 74 69 74 79 20 28 61 20 73 75 73 70 identity (a susp
0680: 69 63 69 6f 75 73 20 69 64 65 6e 74 69 74 79 2c icious identity,
0690: 20 74 68 6f 75 67 68 29 2e 20 26 6e 62 73 70 3b though).
06a0: 41 66 74 65 72 20 67 65 6e 65 72 61 74 69 6e 67 After generating
06b0: 20 74 68 65 0a 6b 65 79 2c 20 73 31 20 69 73 20 the.key, s1 is
06c0: 64 65 73 74 72 6f 79 65 64 3b 20 69 74 20 69 73 destroyed; it is
06d0: 20 6e 6f 20 6c 6f 6e 67 65 72 20 6e 65 65 64 65 no longer neede
06e0: 64 2c 20 74 68 6f 75 67 68 20 69 74 20 63 61 6e d, though it can
06f0: 20 62 65 20 72 65 63 6f 6d 70 75 74 65 64 20 75 be recomputed u
0700: 73 69 6e 67 0a 73 20 61 6e 64 20 70 32 20 61 6e sing.s and p2 an
0710: 64 20 74 68 65 20 65 78 74 65 6e 64 65 64 20 65 d the extended e
0720: 75 63 6c 69 64 65 61 6e 20 61 6c 67 6f 72 69 74 uclidean algorit
0730: 68 6d 2e 0a 0a 3c 70 3e 49 20 6b 65 65 70 20 73 hm...<p>I keep s
0740: 32 20 61 73 20 6f 66 66 6c 69 6e 65 20 63 6f 70 2 as offline cop
0750: 79 20 28 69 74 27 73 20 6a 75 73 74 20 36 34 20 y (it's just 64
0760: 68 65 78 20 64 69 67 69 74 73 29 2c 20 61 6e 64 hex digits), and
0770: 20 73 20 61 73 20 70 72 6f 74 65 63 74 65 64 0a s as protected.
0780: 6f 6e 6c 69 6e 65 20 63 6f 70 79 20 69 6e 20 6d online copy in m
0790: 79 20 64 65 76 69 63 65 3b 20 73 20 69 73 20 73 y device; s is s
07a0: 75 62 6a 65 63 74 20 74 6f 20 61 74 74 61 63 6b ubject to attack
07b0: 73 20 61 6e 64 20 62 61 63 6b 64 6f 6f 72 73 2c s and backdoors,
07c0: 20 61 6e 64 20 74 68 65 72 65 66 6f 72 65 0a 61 and therefore.a
07d0: 74 20 72 69 73 6b 2e 20 26 6e 62 73 70 3b 54 6f t risk. To
07e0: 20 72 65 76 6f 6b 65 20 61 20 6b 65 79 2c 20 49 revoke a key, I
07f0: 20 70 75 62 6c 69 73 68 20 70 32 2c 20 77 68 69 publish p2, whi
0800: 63 68 20 74 68 65 20 72 65 63 69 70 69 65 6e 74 ch the recipient
0810: 20 63 61 6e 20 76 61 6c 69 64 61 74 65 0a 62 79 can validate.by
0820: 20 70 31 2a 28 70 32 29 3d 3d 70 2e 20 26 6e 62 p1*(p2)==p. &nb
0830: 73 70 3b 3c 2f 70 3e 0a 0a 3c 70 3e 54 6f 20 73 sp;</p>..<p>To s
0840: 69 67 6e 20 61 20 6e 65 77 20 6b 65 79 2c 20 49 ign a new key, I
0850: 20 75 73 65 20 73 32 20 61 73 20 73 69 67 6e 61 use s2 as signa
0860: 74 75 72 65 20 6b 65 79 2c 20 69 2e 65 2e 20 74 ture key, i.e. t
0870: 68 65 20 72 65 63 69 70 69 65 6e 74 20 63 61 6e he recipient can
0880: 20 75 73 65 20 74 68 65 0a 6a 75 73 74 20 70 75 use the.just pu
0890: 62 6c 69 73 68 65 64 20 70 32 20 74 6f 20 76 65 blished p2 to ve
08a0: 72 69 66 79 20 74 68 65 20 74 72 61 6e 73 69 74 rify the transit
08b0: 69 6f 6e 20 74 6f 20 74 68 65 20 72 65 70 6c 61 ion to the repla
08c0: 63 65 6d 65 6e 74 20 6b 65 79 2e 20 26 6e 62 73 cement key. &nbs
08d0: 70 3b 4f 66 0a 63 6f 75 72 73 65 2c 20 74 68 65 p;Of.course, the
08e0: 20 6e 65 77 20 6b 65 79 20 61 6c 73 6f 20 68 61 new key also ha
08f0: 73 20 61 20 73 69 67 6e 61 74 75 72 65 20 77 69 s a signature wi
0900: 74 68 20 73 2c 20 74 68 65 20 6f 6c 64 20 6b 65 th s, the old ke
0910: 79 2e 20 26 6e 62 73 70 3b 54 68 65 20 66 6f 72 y. The for
0920: 6d 61 74 0a 6f 66 20 74 68 65 20 72 65 76 6f 63 mat.of the revoc
0930: 61 74 69 6f 6e 20 61 74 74 72 69 62 75 74 65 20 ation attribute
0940: 69 73 20 61 63 74 75 61 6c 6c 79 20 26 6c 74 3b is actually <
0950: 6e 65 77 20 70 75 62 6b 65 79 73 3a 20 70 6e 65 new pubkeys: pne
0960: 77 2c 20 70 31 6e 65 77 26 67 74 3b 26 6c 74 3b w, p1new><
0970: 70 32 2c 0a 73 69 67 20 75 73 69 6e 67 20 73 32 p2,.sig using s2
0980: 26 67 74 3b 26 6c 74 3b 73 69 67 20 75 73 69 6e ><sig usin
0990: 67 20 73 26 67 74 3b 2e 20 26 6e 62 73 70 3b 42 g s>. B
09a0: 6f 74 68 20 73 69 67 6e 61 74 75 72 65 73 20 6d oth signatures m
09b0: 75 73 74 20 68 61 76 65 20 74 68 65 20 73 61 6d ust have the sam
09c0: 65 0a 73 69 67 6e 69 6e 67 20 64 61 74 65 2c 20 e.signing date,
09d0: 61 6e 64 20 61 20 6e 65 76 65 72 20 65 78 70 69 and a never expi
09e0: 72 61 74 69 6f 6e 20 64 61 74 65 20 28 61 20 72 ration date (a r
09f0: 65 76 6f 63 61 74 69 6f 6e 20 64 6f 65 73 6e 27 evocation doesn'
0a00: 74 20 65 78 70 69 72 65 29 2e 3c 2f 70 3e 0a 0a t expire).</p>..
0a10: 3c 70 3e 41 6e 20 61 6c 74 65 72 6e 61 74 69 76 <p>An alternativ
0a20: 65 20 77 61 79 20 77 6f 75 6c 64 20 62 65 20 74 e way would be t
0a30: 6f 20 63 72 65 61 74 65 20 61 20 73 69 67 6e 61 o create a signa
0a40: 74 75 72 65 20 6b 65 79 20 28 77 68 69 63 68 20 ture key (which
0a50: 77 6f 75 6c 64 20 62 65 20 73 32 29 2c 0a 61 6e would be s2),.an
0a60: 64 20 75 73 65 20 74 68 61 74 20 74 6f 20 73 69 d use that to si
0a70: 67 6e 20 74 68 65 20 77 6f 72 6b 69 6e 67 20 6b gn the working k
0a80: 65 79 2e 20 26 6e 62 73 70 3b 43 72 6f 73 73 2d ey. Cross-
0a90: 73 69 67 6e 69 6e 67 20 77 6f 75 6c 64 20 73 74 signing would st
0aa0: 69 6c 6c 20 70 72 65 76 65 6e 74 0a 69 64 65 6e ill prevent.iden
0ab0: 74 69 74 79 20 74 68 65 66 74 20 69 66 20 6a 75 tity theft if ju
0ac0: 73 74 20 74 68 65 20 73 69 67 6e 61 74 75 72 65 st the signature
0ad0: 20 6b 65 79 20 69 73 20 73 74 6f 6c 65 6e 2e 3c key is stolen.<
0ae0: 2f 70 3e 0a 0a 5a 20 66 30 32 30 62 32 65 31 32 /p>..Z f020b2e12
0af0: 34 31 34 32 33 63 65 31 61 63 31 65 63 63 32 33 41423ce1ac1ecc23
0b00: 65 36 63 34 31 34 62 0a e6c414b.