Я работаю над проектом, в котором программное обеспечение выполняет криптографические операции с двоичным файлом GnuPG. Некоторые функции имеют зашифрованный вывод OpenPGP, а некоторые принимают зашифрованный ввод OpenPGP.
Для модульного тестирования я планирую сгенерировать ключ без пароля для [email protected] и включить его в репозиторий. Это (естественно) сделает ключ непригодным для производственного использования, но это нормально, поскольку ожидается, что пользователи будут генерировать/использовать свой собственный ключ.
Теперь к моему вопросу. Если ключ включен в репозиторий, любой может загрузить его на сервер ключей, использовать его для подписи собственного ключа или отозвать его (и загрузить отзыв). GPG может автоматически загружать ключи с серверов ключей, и кажется неразумным иметь такой ключ (где закрытый ключ является общедоступным) в личной связке ключей.
Можно ли загрузить отозванную версию ключа на сервер ключей (чтобы цепочка ключей не доверяла ей) и включить в репозиторий версию ключа, где ключ не отозван? Решит ли это проблему появления ключа и будет ли он доверенным в личной цепочке для ключей, и в то же время позволит проводить модульное тестирование с тем же ключом?