Appena generata una keypair è opportuno creare un certificato di revoca, per poterla eventualmente revocare, perché magari la chiave privata è stata smarrita o peggio perché è divenuta pubblica o perché si vuol semplicemente non continuare ad utilizzare quella keypair, ... Per far ciò si può utilizzare il comando
$ gpg --output revokemykey.asc --gen-revoke d.masini@tiscali.it
che genera un certificato di revoca per la keypair il cui ID contiene d.masini@tiscali.it e
lo inserisce all’interno del file revokemykey.asc.
Si noti che per la generazione di un certificato di revoca è necessaria la chiave privata (altrimenti chiunque poterbbe generare un certificato di revoca per una keypair) ed è per questo che è opportuno generare tale certificato appena si genera una keypair, altrimenti la keypair non sarà revocabile se si è smarrita la chiave privata o si è dimenticata la passphrase.
Una volta generato, un certificato di revoca realtivo ad una keypair va custodito con la stessa cura di una chiave privata, poiché chi ne entra in possesso può revocare la keypair. La pubblicazione di tale certificato indica appunto la revoca della keypair alla quale esso si riferisce.