scheinbar willst du deine Schlüssel-ID nicht preisgeben, kann du dann aber trotzdem bitte mal anonymisiert ein paar mehr Details bereitstellten, z.B. --list-secret-keys und dann deinen Versuch.
Ein Widerrufszertifikat für diesen Schlüssel erzeugen? (j/N) j
Grund für den Widerruf:
0 = Kein Grund angegeben
1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher
2 = Schlüssel ist überholt
3 = Schlüssel wird nicht mehr benutzt
Q = Abbruch
(Wahrscheinlich möchten Sie hier 1 auswählen)
Ihre Auswahl? 0
Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile:
Grund für Widerruf: Kein Grund angegeben
(Keine Beschreibung angegeben)
Ist das OK? (j/N) j
Ausgabe mit ASCII Hülle erzwungen
scdaemon[2541]: updating slot 0 status: 0x0000->0x0007 (0->1)
scdaemon[2541]: Der Fingerabdruck auf der Karte entspricht nicht dem angeforderten.
scdaemon[2541]: app_sign failed: Falscher geheimer Schlüssel benutzt
gpg: Beglaubigung fehlgeschlagen: Falscher geheimer Schlüssel benutzt
gpg: “make_keysig_packet” fehlgeschlagen: Falscher geheimer Schlüssel benutzt
makrie@t430s:~$ scdaemon[2541]: scdaemon (GnuPG) 2.0.28 angehalten
Ok, ich sehe du hast einen Masterkey und drei Subkeys. Nach Best-Pratices hast du vermutlich die Subkeys auf dem Nitrokey und Masterkey woanders.
Zum erstellen eines Widerrufszertifikats brauchst du ein Zertifikat zum Zertifizieren. Das hat aber nur der Masterkey. Auf deinem Nitrokey hast du also “nur” ein Schlüssel zum Signieren, Entschlüsseln und Authentifizieren.
Wie ich selber schmerzlich lernen musste ist in der GnuPG-Welt signieren und zertifizieren nicht das Gleich.