秘密鍵束を暗号化するのによいしっかりとしたランダムなパスフレーズを選んでいたら、あなたはまだ安全だ。暗号を復号化するには二つ必要だ。秘密鍵束と、そのパスフレーズである。秘密鍵は、秘密鍵束に収められる前に、パスフレーズで暗号化されている。

秘密鍵束のバックアップをとってあるなら、鍵撤回証明書を作って、公開鍵サーバーにその撤回をアップロードすべきだ。撤回証明書をアップロードするのに先だって、新しいIDを古い鍵に付け加えて、新しい鍵IDがどこにあるかを示してもいい。もし秘密鍵束のバックアップをとっていなければ、現在の版のPGPで撤回証明書を作るのは不可能である。秘密鍵束のバックアップを作っておくといいという理由はここにもある。

Phil Zimmermannに言わせれば、「申し訳ないが、おしまいだ」。できない。証明書を作るのにパスフレーズが必要だからだ。撤回宣言に署名する秘密鍵を復号化しなければならないが、ここでパスフレーズが必要なのだ。

この問題を避けるためには、鍵撤回証明書を、鍵のペアを作成すると同時に作っておくことである。撤回証明書を安全な場所に置いておいて、必要が生じたときにそれを使うのである。

最も簡単な方法は以下のとおり。

1. 公開鍵束と秘密鍵束のバックアップを作る。
2. pgp -kd ユーザーIDで鍵を撤回する。
3. pgp -kxa ユーザーIDで、ファイルに撤回された鍵を抜き出す。このファイルがマニュアルのいう「撤回証明書」である。
4. 証明書を安全な場所に保存する。たとえば、どこか別のところに置いたフロッピーディスク。
5. バックアップの鍵束を復元する。

これは非常にややこしい状況で、そうなることは全力で防ぐべきだ。最も簡単な方法は、必要になるまえに鍵撤回証明書を準備すること（このための詳細は7.3参照）である。そうすればあなたは、鍵が無効になったときには、秘密鍵がなくてもできる。

あるいは、バイナリ・エディタを使って、あなたの公開鍵のユーザーIDの一つを変更して、「鍵無効。0x12345678鍵を使ってください」とか何とと読めるようにすることだ。あなたが何をやっているかよくわからないなら、新しいユーザーIDは、古いものより長くなってはいけない。それから鍵を抜き出し、鍵サーバーに送る。これは実際には新しいユーザーIDと考えられ、それはあなたの鍵に追加されることになるだろう。

しかし、これはだれでもできることなので、多くの人々はこういった宣言のついた無署名ユーザーIDを信用したりはしないだろう。質問6.3で説明したように、鍵のすべてのユーザーIDは自己署名されるべきである。また、鍵撤回証明書を事前に作って、必要なときには使うようにしよう。