Ein Unterschlüssel, der als öffentlicher Schlüssel im Umlauf ist oder ein kompletter Schlüssel, der vom Schlüsselbesitzer nicht mehr verwendet wird, bzw. von den Schlüsselbenutzern nicht mehr verwendet werden soll, weil z. B. beim Schlüsselbesitzer die Passphrase in Vergessenheit geraten, der private Schlüssel verloren gegangen oder in fremde Hände gelangt ist oder weil der Schlüssel einfach nicht mehr benutzt wird, kann vom Schlüsselbesitzer widerrufen oder zurückgezogen werden.
Genauer gesagt wird nicht der Schlüssel an sich widerrufen, sondern dessen Eigenzertifikat und die eigenen Zertifikate der User-IDs.

D. h. der Schlüssel wird mit einem zusätzlichen Zertifikat versehen, das den kompletten Schlüssel oder einen Unterschlüssel als vom Besitzer widerrufen ("revoked") ausweist. Dieses Merkmal wird sowohl von GnuPG als auch vom Schlüsselserver als Angabe zum Schlüssel angezeigt.

Das Beispiel der vergessenen Passphrase zeigt, dass man das Rückzugszertifikat ("Revocation Certificate") nicht erst versucht zu erzeugen, wenn man nicht mehr im Besitz der Passphrase ist oder das Speichermedium, auf dem sich der private Schlüssel befand, gelöscht wurde, weil man ohne Passphrase und privaten Schlüssel auch kein Rückzugszertifikat ausstellen kann - sondern optimal sofort nach der Erstellung eines Schlüssels in Form eines externen Rückzugszertifikats für den kompletten Schlüssel.

Da auch ein Angreifer Interesse an diesem Rückzugszertifikat hat, könnte er doch damit den eigenen Schlüssel auf einem Schlüsselserver als widerrufen markieren, gilt es, das Rückzugszertifikat direkt nach der Erstellung sicher vor unbefugtem Zugriff und Zerstörung zu verwahren.

Ein Rückzugszertifikat kann als externes Zertifikat erzeugt werden, das den gesamten Schlüssel (inklusive des Hauptsignierschlüssels und aller Unterschlüssel) widerruft und das erst zum Zeitpunkt des tatsächlichen Widerrufs dem Schlüssel zugeordnet wird, indem das Rückzugszertifikat in die Schlüsselringe importiert und anschließend der Schlüssel an den Schlüsselserver gesendet wird.
Diese Form des Rückzugszertifikats bietet sich an, um zu einem späteren Zeitpunkt unter allen Umständen einen Schlüssel widerrufen zu können.
Es ist deshalb das wichtigste Rückzugszertifikat, dass GnuPG Anfänger nach der Erstellung ihres Schlüssels anfertigen sollten.

Die zweite Form des internen Rückzugszertifikats wird mit dem Schlüsseleditor direkt zu einem bestimmten Unterschlüssel hinzugefügt. Mit Ausnahme des widerrufenen Unterschlüssels bleibt der Schlüssel (d. h. Hauptsignierschlüssel und weitere Unterschlüssel) weiter gültig und verwendbar. In diesem Fall sendet man den Schlüssel sofort an einen Schlüsselserver, entweder direkt über GnuPG oder indirekt mit dem exportierten Schlüssel.

Diese Form des Rückzugszertifikats bietet sich an, wenn nur bestimmte Schlüsselbestandteile widerrufen werden sollen und die Veröffentlichung des Widerrufs sofort oder in naher Zukunft erfolgt.
Ein internes Rückzugszertifikat kann auf ähnlichem Weg auch für den Widerruf eines einzelnen Zertifikats oder einer User-ID ausgestellt werden.
Die internen Rückzugszertifikate für Schlüsselkomponenten sind für den GnuPG Anfänger erst einmal von nachrangigem Interesse.

Damit sich die Information eines Rückzugszertifikats verbreitet, sendet man den öffentlichen Schlüssel, dem ein Rückzugszertifikat zugeordnet wurde an einen Schlüsselserver – direkt mit GnuPG oder über Eingabe des exportirten Schlüssels in ein Schlüsselserver-Weboberfläche. In dringenden Fällen auch per E-Mail an die Kommunikationspartner, damit diese sofort ihren öffentlichen Schlüsselbund aktualisieren.

1. gpg --gen-revoke Key-ID > Key-ID.revcert.asc in der Konsole eingeben
2. GnuPG Anzeige des privaten Schlüssels:
   sec SchlüssellängeTyp/Key-ID Erstellungsdatum User-ID
   Ein Widerrufszertifikat für diesen Schlüssel erzeugen? (j/N) j
3. Grund für den Widerruf:
   0 = Kein Grund angegeben
   1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher
   2 = Schlüssel ist überholt
   3 = Schlüssel wird nicht mehr benutzt
   Q = Abbruch
   (Wahrscheinlich möchten Sie hier 1 auswählen)
   Ihre Auswahl? 1
4. Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile:
   < Beschreibung
   <
5. Grund für Widerruf: Hinweis: Dieser Schlüssel ist nicht mehr sicher
   Beschreibung
   Ist das richtig? ja
6. Geben Sie die Passphrase ein: Passphrase
7. Key-ID.revcert auf Medium oder als Ausdruck in Papierform sichern.

Ist der öffentliche Schlüssel nicht über einen Schlüsselserver veröffentlicht worden, sollte das Rückzugszertifikat mit einer Kopie der Schlüsselringdateien importiert und anschließend der exportierte öffentliche Schlüssel gesichert werden.
Ist der öffentliche Schlüssel veröffentlicht, reicht das gesicherte Rückzugszertifikat (s. o.), weil es bei einem Verlust der lokalen Schlüsselringdateien immer noch mit dem öffentlichen Schlüssel auf dem Schlüsselserver zusammengeführt werden kann.

1. Originale Schlüsselringdateien pubring.gpg und secring.gpg sichern/kopieren
2. Rückzugszertifikat mit gpg --import Key-ID.revcert.asc importieren
3. Behandelten öffentlichen Schlüssel mit gpg -ao Key-IDrevkey.asc --export Key-ID exportieren
4. Key-IDrevkey.asc auf Medium oder als Ausdruck in Papierform sichern.
5. Gesicherte Schlüsselringdateien wieder an Ursprungsort speichern.

Schlüssel markieren und im Menü Revoke auswählen.

Im Dialogfenster den Grund auswählen, die optionale Beschreibung angeben, die Passphrase eintragen und Ort & Dateiname für das Rückzugszertifikat. Nach Bestätigung über den OK Button erfolgt eine Rückmeldung von WinPT.

Soll der Rückzug aktiv werden, importiert man die obige Rückzugszertifikatsdatei und WinPT zeigt noch einmal die Details des Rückzugszertifikats an.

Der erfolgreiche Import des Rückzugs ist am Schlüsselattribut Revoked in den Eigenschaften des Schlüssels und der Validity Spalte im Schlüsselmanager ablesbar. Nun kann der öffentliche Schlüssel mit dem enthaltenen Rückzugszertifikat an einen Schlüsselserver (und die Kommunikationspartner) übertragen werden.

1. gpg --edit-key Key-ID in der Konsole eingeben
2. Den betreffenden Unterschlüssel auswählen:
   Befehl> key n (n = 1, 2, …)
   
   Gnupg Anzeige des ausgewählten Unterschlüssels:
   sub* SchlüssellängeTyp/Key-ID erstellt: Erstellungsdatum verfällt: Verfallsdatum
3. Befehl> revkey
   Möchten Sie diesen Schlüssel wirklich wiederrufen? ja
4. Grund für den Widerruf:
   0 = Kein Grund angegeben
   1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher
   2 = Schlüssel ist überholt
   3 = Schlüssel wird nicht mehr benutzt
   Q = Abbruch
   Ihre Auswahl? 1
5. Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile:
   < Beschreibung
   <
6. Grund für Widerruf: Hinweis: Dieser Schlüssel ist nicht mehr sicher
   Beschreibung
   Ist das richtig? ja
7. Geben Sie die Passphrase ein: Passphrase
   
   GnuPG Anzeige des widerrufenen Unterschlüssels:
   sub* SchlüssellängeTyp/Key-ID erstellt: Erstellungsdatum verfällt: Verfallsdatum
   rev! Unterschlüssel wurde widerrufen: Widerrufsdatum
8. Befehl> save

Man kann nur selbst erstellte Zertifikate widerrufen, d. h. das Eigenzertifikat, Zertifikate, die man selbst für User-IDs fremder öffentlicher Schlüssel und die User-IDs des eigenen Schlüssels ausgestellt hat.

Widerruft man ein eigenes Zertifikat einer eigenen User-ID, das mit dem zugehörigen Hauptsignierschlüssel erstellt wurde, wird damit die User-ID selbst widerrufen.

Bei einer User-ID eines fremden Schlüssels wird die User-ID durch den Widerruf des Zertifikats, das man für die User-ID ausgestellt hatte, nicht widerrufen, weil nur der fremde Schlüsselbesitzer seine eigene User-ID durch ein Rückzugszertifikat widerrufen kann.

Der Grund für den Widerruf einer eigenen User-ID kann darin liegen, dass sich die Kontaktangaben (E-Mail Adresse, Tel.-Nr., Namensänderung durch Heirat usw.) oder die Angaben zur Organisationszugehörigkeit (Abteilung X in Firma X statt Abteilung A in Firma B) geändert haben.
Der Widerruf eines einzelnen Zertifikats einer eigenen User-ID kann deshalb ausgestellt werden, weil das Zertifikat mit einem alten Schlüssel erstellt wurde, der selbst wieder nicht mehr verwendet oder widerrufen wurde.

Der Widerruf des eigenen Zertifikats einer fremden User-ID kann deshalb ausgestellt werden, weil man dem Schlüssel bzw. seinem Schlüsselbesitzer nicht mehr vertraut, den Verdacht hat, dass dessen privater Schlüssel in fremde Hände gelangt ist oder die Angaben der User-ID nicht mehr mit der Person übereinstimmen, mit der man kommuniziert, bzw. der Schlüsselinhaber keine neue User-ID erstellt hat und nicht mehr kontaktiert werden kann.

1. gpg --edit-key Key-ID in der Konsole eingeben
2. Befehl> revsig
3. GnuPG listet nun zuerst die User-IDs auf, die zertifiziert wurden und die Key-ID des verwendeten Hauptsignierschlüssels:
   
   Sie haben folgende User-IDs beglaubigt:
   User-ID 1
   beglaubigt durch Key-ID um Erstellungsdatum
   UserID n
   beglaubigt durch Key-ID um Erstellungsdatum
4. Danach wird für jede einzelne User-ID und jedes Zertifikat eine Bestätigung eingeholt:
   
   User-ID: "Vorname Nachname <vorname.nachname@domain.tld>"
   unterschrieben mit Ihrem Schlüssel Key-ID um Erstellungsdatum
   Ein Widerrufszertifikat für diese Unterschrift erzeugen (j/N) j
5. Nach der Bestätigung folgt eine Zusammenfassung und eine erneute Sicherheitsabfrage durch GnuPG:
   
   Es werden nun folgende Beglaubigungen entfernt:
   Vorname Nachname <vorname.nachname@domain.tld>
   beglaubigt durch Key-ID am Erstellungsdatum
   Wirklich ein Unterschrift-Widerrufszertifikat erzeugen? (j/N) j
6. Grund für den Widerruf:
   0 = Kein Grund angegeben
   4 = User-ID ist nicht mehr gültig
   Q = Abbruch
   Ihre Auswahl? 4
7. Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile:
   > Beschreibung
   >
8. Grund für Widerruf: User-ID ist nicht mehr gültig
   Beschreibung
   Ist das richtig? ja
9. Geben Sie die Passphrase ein: Passphrase
10. Befehl> save

1. gpg --edit-key Key-ID in der Konsole eingeben
2. Befehl> uid n (n = 1, 2…) wählt die User-ID aus, die widerrufen werden soll
3. Befehl> revuid
   Diese User-ID wirklich widerrufen? ja
4. Grund für den Widerruf:
   0 = Kein Grund angegeben
   4 = User-ID ist nicht mehr gültig
   Q = Abbruch
   (Wahrscheinlich möchten Sie hier 4 auswählen)
   Ihre Auswahl? 4
5. Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile:
   > E-Mail Account besteht nicht mehr
   >
6. Grund für Widerruf: User-ID ist nicht mehr gültig
   E-Mail Account besteht nicht mehr
   Ist das richtig? ja
7. Geben Sie die Passphrase ein: Passphrase
   
   GnuPG Anzeige der widerrufenen User-ID:
   (n) [widerrufen]User-ID Abgaben
   
   Anzeige beim Schlüsselbenutzer:
   uid [widerrufen]User-ID
   rev Key-ID Erstellungsdatum User-ID des Hauptsignierschlüssels
8. Befehl> save

Trotz einiger Designschwächen stellen Schlüsselserver eine zentrale Komponente bei der Anwendung von GnuPG und für das Web-of-Trust dar. Auf Schlüsselserver können GnuPG Anwender öffentliche Schlüssel hinterlegen, wo sie von anderen GnuPG Anwendern abgerufen oder mit GnuPG abgeglichen werden können. Dabei reicht es, öffentliche Schlüssel auf einem Schlüsselserver zu hinterlegen, weil die Schlüsselserver miteinander vernetzt sind und den Schlüsselbestand miteinander synchronisieren (abgesehen von ein paar Ausnahmen).

Schlüsselbesitzer und -benutzer können ebenfalls Schlüssel mit veränderten Angaben und Bestandteilen auf die Schlüsselserver durch einfaches Hochladen des Schlüssels aktualisieren.
Über eine Synchronisierung des öffentlichen Schlüsselrings, bzw. Abgleich eines Schlüssels im öffentlichen Schlüsselring mit einem Schlüsselserver können so Aktualisierungen indirekt an alle Schlüsselbenutzer weitergereicht werden, ohne direkt mit allen Kommunikationspartnern kommunizieren zu müssen.

Die Anlässe, einen öffentlichen Schlüssel auf einen Schlüsselserver hochzuladen oder als Datei zu exportieren und die Datei weiterzuverbreiten: Ein neuer öffentlicher Schlüssel soll veröffentlicht werden, ein Schlüssel oder eine Schlüsselkomponente wurde mit Rückzugszertifikaten versehen, bzw. widerrufen, einem Schlüssel wurde eine neue User-ID hinzugefügt, ein fremder Schlüssel wurde zertifiziert, Angaben zu Kryptopräferenzen wurden im Schlüssel geändert.

1. Ggf. Key-ID des betreffenden Schlüssels feststellen mit
   gpg --list-keys
   gpg --list-keys User-ID
2. Wenn Angaben zum Schlüsselserver in der gpg.conf hinterlegt sind, Upload mit
   
   gpg --send-keys Key-ID
   
   Wenn kein spezieller Schlüsselserver in der gpg.conf benannt ist, Upload mit
   
   gpg --keyserver hkp://keyserver:port --keyserver-options verbose --send-keys Key-ID

1. Ggf. Key-ID des betreffenden Schlüssels feststellen mit
   
   gpg --list-keys
   gpg --list-keys User-ID
2. Export des öffentlichen Schlüssels mit
   
   gpg -ao Key-IDpubkey.asc --export Key-ID
3. Versand der Key-IDpubkey.asc Datei per E-Mail oder Upload zu einem Schlüsselserver per Schlüsselserver-Weboberfläche.

Genauso wie den öffentlichen Schlüssel kann man auch die privaten Schlüssel, bzw. deren geheime Bestandteile z. B. für ein Backup oder die Verwendung in einer anderen OpenPGP Anwendung exportieren.

Private Schlüssel werden niemals auf einen Schlüsselserver geladen oder per E-Mail versendet. Bei unsachgemäßer und unsicherer Speicherung der exportierten Schlüsseldatei besteht die Gefahr der Kompomitierung des Schlüssels.

• Export von privaten Hauptsignier- und Unterschlüsseln
  
  gpg -o Key-IDseckey --export-secret-keys Key-ID
• Export von privaten Unterschlüsseln
  
  gpg -o Key-IDsecsubkey--export-secret-subkeys Key-ID
• Export von privaten Unterschlüsseln, wobei der exportierte Unterschlüssel mit leerer Passphrase abgespeichert wird
  
  gpg -o Key-IDsecsubkey --export-options export-reset-subkey-passwd --export-secret-subkeys Key-ID

An die Schlüsselserver kann man mit GnuPG nicht nur öffentliche Schlüssel senden, sondern auch öffentliche Schlüssel anderer Schlüsselbesitzer direkt einsehen, anfordern und dem eigenen Schlüsselring hinzufügen.

Oder ein Schlüssel wird in Form einer Schlüsseldatei mit GnuPG importiert, die von der Website eines Schlüsselbesitzers heruntergeladen, von ihm per E-Mail zugeschickt oder über die Abfrage per Schlüsselserver-Weboberfläche bezogen wurde.

1. Wenn genaue Angaben zur Key-ID und/oder User-ID nicht bekannt sind und Schlüsselserver und Schlüsselserverparameter in der gpg.conf angegeben sind:
   
   gpg --search-keys "Suchstring"
   
   Wenn kein Schlüsselserver in der gpg.conf angegeben ist (Parameter verbose für ausführliche Anzeigen kann 1 - 3x gesetzt werden):
   
   gpg --keyserver hkp://keyserver:port --keyserver-options verbose --search-keys "Suchstring"
   
   Wenn die Key-ID eines Schlüssels bekannt ist, kann ein Schlüssel auch direkt angefordert werden:
   
   gpg --recv-keys Key-ID
   
   "Suchstring" ist entweder die Key-ID oder bekannte Bestandteile der User-ID.
2. Nach Eingabe des Kommandos zeigt GnuPG alle Schlüssel an, die der Schlüsselserver übermittelt hat. Dabei wird der gleiche Schlüssel (erkennbar an Key-ID, Länge, Erstellungsdatum) für jede einzelne User-ID, die der Schlüssel besitzt, mehrmals ausgegeben.
   Hier als Beispiel die Ausgabe meiner Schlüssel:
   
   
3. Mit (N)ext blättert man zur nächsten Anzeigeseite um, mit (Q)uit verlässt man den Schlüsselserverdialog
   Gibt man eine der Nummern ein, die den Schlüsseln vorangestellt sind, wird der betreffende Schlüssel vom Schlüsselserver geladen und automatisch in den öffentlichen Schlüsselring importiert:
   
   
4. Anschließend erfolgt die Überprüfung des Schlüssels nach den Regeln des Web-of-Trust.

• Eine vorliegende Schlüsseldatei wird einfach mit dem folgenden Kommando in den öffentlichen Schlüsselring importiert:
  
  gpg --import Schlüsseldatei
• Eine Schlüsseldatei importieren, die per URL von einem entfernten Rechner heruntergeladen wird:
  
  gpg --fetch-keys URL

Weitere Optionen für den Import und Export von Schlüsseln sind im Anhang 4 aufgeführt.

Mit den folgenden Kommandos kann man Schlüssel aus den Schlüsselringen löschen. Zu beachten ist, das Schlüssel und Schlüsselbestandteile auf Schlüsselserver nicht gelöscht, sondern nur zurückgezogen werden können. D. h. es ist eigentlich nur sinnvoll, fremde Schlüssel und Schlüsselbestandteile zu löschen und bei eigenen Schlüsseln nur die Schlüssel und Schlüsselbestandteile, die noch nicht auf einem Schlüsselserver veröffentlicht wurden.

Öffentlichen Schlüssel löschen
gpg --delete-key Key-ID

Privaten Schlüssel löschen
gpg --delete-secret-key Key-ID

Privaten und öffentlichen Schlüssel löschen
gpg --delete-secret-and-public-key Key-ID

Haben sich die Angaben zur User-ID geändert oder ergeben sich zusätzliche, neue Angaben, z. B. um neue E-Mail Adressen von Mail oder Jabber Accounts anzugeben, kann man wie oben beschrieben veraltete User-IDs zurückziehen und neue User-IDs hinzufügen.
Dabei ist zu beachten, dass jede neu hinzugefügte User-ID automatisch zur primären User-ID wird, die auch als User-ID in grafischen GnuPG Tools und vom Schlüsselserver angezeigt werden. Deshalb muss man ggf. eine bestimmte User-ID zur primären User-ID bestimmen, deren Adresse hauptsächlich zur Kommunikation benutzt wird.

1. gpg --edit-key Key-ID
2. Befehl> adduid
3. User-ID Daten angeben
4. Befehl> save

1. gpg --edit-key Key-ID
2. Befehl> uid n [n=1,2,…]
3. Befehl> primary
4. Befehl> save

Sei es, dass man den Gültigkeitszeitraum eines Unterschlüssels nicht verlängern möchte, einen Unterschlüssel zurückgezogen hat oder neben einem RSA auch einen Elgamal Unterschlüssel zur Verschlüsselung anbieten möchte.

1. gpg --edit-key Key-ID
2. Befehl> addkey
3. Schlüsseltyp auswählen:
   (2) DSA (nur signieren/beglaubigen)
   (3) Elgamal (encrypt only)
   (4) RSA (nur signieren/beglaubigen)
   (5) RSA (nur verschlüsseln)
   Ihre Auswahl? n [n=2 - 5]
4. Befehl> save

Steht der Ablauf eines Hauptsignier- oder Unterschlüssels bevor, soll ein Schlüssel eine begrenzte Gültigkeitsdauer erhalten oder sind Schlüssel bereits abgelaufen, kann das Ablaufdatum geändert werden.

Für den Hauptsignierschlüssel

1. gpg --edit-key Key-ID
2. Befehl> expire
3. Verfallszeitpunkt angeben
4. Passphrase eingeben
5. Befehl> save

Für einen Unterschlüssel

1. gpg --edit-key Key-ID
2. Befehl> key n Unterschlüsselauswahl mit n=1,2,…
3. Befehl> expire
4. Verfallszeitpunkt angeben
5. Passphrase eingeben
6. Befehl> save

Zur Verbesserung der Sicherheit und des Schutzes vor einem Angriff kann die Passphrase regelmäßig geändert oder "verstärkt" werden.

1. gpg --edit-key Key-ID
2. Befehl> passwd
3. Alte Passphrase eingeben
4. 2x neue Passphrase eingeben
5. Befehl> save

Die Kommandos entfernen nicht verwertbare Zertifikate und User-IDs, die z. B. abgelaufen, zurückgezogen, doppelt, veraltet vorliegen. Gültige Eigenzertifikate bleiben in jedem Fall erhalten.
Soll eine Bereinigung automatisch für alle Schlüssel bei deren Im- oder Export durchgeführt werden, können entsprechende Optionen in der gpg.conf gesetzt werden.

1. gpg --edit-key Key-ID
2. Befehl> clean zur Bereinigung von Zertifikaten und User-IDs
   
   Befehl> clean sigs zur Bereinigung von Zertifikaten
   
   Befehl> clean uids zur Bereinigung von User-IDs
3. Befehl> save