如何在使用GnuPG进行撤销后生成吊销证书

我读过“ 如何使用GnuPG的`--desig-revoke`命令？ ”问题/答案，所以现在我知道何时使用--desig-revoke。

所以，我有两个不同的私钥 - 一个在工作（WORKWORK），一个在家里（HOMEHOME）。在为最坏的情况做准备（在今天的经济中，这不是一个坏主意），我希望能够从家里撤销我的工作ID。

我希望我能够利用所获得的知识来设置它。在工作中，我使用addrevoker（内部相当于--desig-revoke，因为我的gpg --help没有显示--desig-revoke作为选项），没有敏感的参数，使我的主页键能够为我的工作密钥生成吊销证书。然后我在工作中导出我的公钥，并在家中导入它。

导入后，我看到：

cmd.exe> gpg --list-keys
path/to/pubring.gpg
------------------------------------------------
pub   4096R/HOMEHOME 2010-12-11
uid       [ultimate] PryrtCJ <PryrtCJ@home>
sub   4096R/________ 2010-12-11
sub   4096R/________ 2014-11-22 [expires: 2015-12-31]
sub   4096R/________ 2014-11-22 [expires: 2015-12-31]

pub   4096R/WORKWORK 2010-12-15
uid       [  full  ] PryrtCJ <PryrtCJ@work>
sub   4096R/________ 2010-12-15

并检查传播回家的addrevoke结果：

cmd.exe> gpg --edit-key WORKWORK
gpg (GnuPG) 2.0.26; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


This key may be revoked by RSA key HOMEHOME PryrtCJ@home
pub  4096R/WORKWORK  created: 2010-12-15  expires: never       usage: SC
                     trust: full          validity: full
sub  4096R/________  created: 2010-12-15  expires: never       usage: E
[  full  ] (1). PryrtCJ <PryrtCJ@work>

所以我显然有权撤销我的工作密钥。但是当我尝试时，我得到的只是这个错误：

cmd.exe> gpg --output revoke-WORKWORK.asc --gen-revoke WORKWORK
gpg: secret key "WORKWORK" not found: Unknown system error

那么，我如何使用我新授予的权限实际生成撤销证书？

不要使用--gen-revoke，而是使用--desig-revoke。来自man gpg：

--desig-revoke name
       Generate a designated revocation certificate for a key. This allows a
       user (with the permission of the keyholder) to revoke someone else's key.

GnuPG会询问您是否要为此其他密钥创建吊销证书，例如0xdeadbeef使用您正在使用的密钥撤销：

$ gpg --desig-revoke 0xDEADBEEF

pub  1024R/DEADBEEF 2015-02-25 Alice

To be revoked by:

sec  2048R/E6F0D5F6 2015-02-25 Bob

Create a designated revocation certificate for this key? (y/N)

[...]

--desig-revoke 将输出ascii-armored撤销证书。