Designated revoker — уполномоченный "отменитель"

Известно, что потеря закрытого ключа или ключевой фразы делает бесполезным как открытый ключ, так и невозможной аннулирование его сертификата. В некоторых обстоятельствах взломщик может воспользоваться такой ситуацией (равно, и создать её искусственно) для перехвата входящих сообщений жертвы, если она не имеет "отменителей" — пользователей, уполномоченных аннулировать ключ в случае его компрометации, когда владелец не может сделать это самостоятельно. Понятно, что таким "отменителем" может быть только человек с исключительной репутацией, возможно, очень близкий друг (не лучший вариант) или адвокат. Но что если используемых ключ защищает крайне ценную переписку, и опасно доверять его аннулирование даже этим людям?

На такой случай может пригодиться такая схема. Создаётся дополнительный ключ (K2), желательно того же типа, что и тот, который нужно обезопасить (K1), и никак не меньшей длины. Ключ K2 добавляется к ключу K1 в качестве designated revoker. Затем мы разделяем ключ K2 по схеме Блейкли-Шамира (функция Share Split в PGP), допустим, на три доли с требованием минимум двух для воссоздания. Каждая доля передаётся одному из трёх доверенных человек так, чтобы никто из них не знал других хранителей долей. Если возникнет ситуация, что потребуется аннулировать K1, его владелец рассылает всем хранителям сообщение с просьбой реконструировать K2 и произвести аннулирование K1.

Гибкость механизма разделения секрета в PGP допускает сколь угодно изощрённые схемы распределения долей. Например, владелец K1 может сделать себя привилегированным хранителем дополнительной доли, без наличия которой другие хранители не смогут реконструировать ключ. Этим приёмом можно воспользоваться для исключения угрозы сговора хранителей. Более того, реально добавить любое количество ключей отмены, аналогичных K2, к K1.

Однако, при реализации схем уполномоченного "отменителя" важно помнить одно правило: ключ отмены (K2) должен присутствовать на связках всех корреспондентов наряду, собственно, с K1. В противном случае, при аннулировании ключа K1 "отменителем" корреспондент не заметит изменений, даже если обновит свою копию K1 аннулированной.