Pour autant que je sache, si la clé est compromise, je peux révoquer la clé en utilisant un certificat de révocation.
Oui, mais tant que vous avez la clé privée réelle (si elle est compromise mais pas détruite), vous pouvez toujours l'utiliser pour vous révoquer. En d'autres termes, elle peut toujours générer de nouveaux certificats de révocation "à la volée".
Au lieu de cela, le certificat de révocation pré-généré existe pour les situations où la clé privée est complètement perdu et pas seulement quand elle est compromise. C'est quelque chose à stocker sur une clé USB chez un ami.
(Bien entendu, vous devez toujours conserver une sauvegarde de la clé privée hors site. Mais la grande différence est qu'une sauvegarde de la clé privée est beaucoup plus sensible, car si elle est volée, elle peut être utilisée pour faire tout ce qui est sous votre nom, alors que le "certificat de révocation" ne peut être utilisé que pour faire une chose très spécifique).
Quelqu'un peut-il me suggérer comment révoquer ma clé avec un certificat de révocation ?
Cela devrait être suffisant pour import le revcert dans votre trousseau PGP - il s'agit essentiellement d'une signature de clé ("auto-certification" dans GnuPG) qui s'attache à votre clé publique principale de la même manière que vous pouvez faire signer votre clé par d'autres personnes et importer ces signatures.
Dès qu'elle est importée, le programme doit indiquer que la clé est révoquée et vous devez publier la clé publique mise à jour dans les emplacements standard (keyserver, etc.).
J'ai aussi un autre doute : après avoir révoqué les clés, dois-je les télécharger sur un serveur de clés GPG ?
Oui, vous devriez. La publication des clés (et des mises à jour des clés) est l'objectif des serveurs de clés.
Si le téléchargement sur le serveur de clés n'est pas requis, comment mon client peut-il vérifier si la clé est révoquée ou non ?
Vous pouvez (ré)exporter manuellement la clé révoquée dans un fichier et la leur donner directement (ou la publier sur Keybase ou votre site web - si vous attendez du client qu'il la revérifie quotidiennement...). Mais ils ne vont certainement pas savoir comme par magie ce qui se passe dans votre ordinateur. C'est pourquoi les serveurs de clés existent.
