Puoi prolungare la data di scadenza di una chiave GPG già scaduta?

41

Diciamo che aggiungo una data di scadenza a una chiave GPG / PGP, quindi per qualche motivo non sono in grado di estendere la data di scadenza della chiave prima che scada il suo tempo.

Supponendo che abbia ancora accesso alla chiave privata (e che la chiave pubblica sia solo scaduta, non sia stata revocata) posso ancora rinnovarla?

pgp  public-key-encryption 
IQAndreas
fonte
Nota: questo sarebbe rapido e facile da testare semplicemente creando una nuova chiave che scade tra cinque minuti. Tuttavia, sto cercando risposte come "Sì, puoi rinnovarlo in GPG, ma alcuni client PGP genereranno errori". oppure "No, se le chiavi non hanno una versione aggiornata quando scadono, GPG smetterà di verificare se sul server di chiavi è disponibile una versione più recente." o "È una cattiva pratica, creare invece una nuova coppia di chiavi".
IQAndreas,
Sì; Non vedo motivo per cui non sarebbe possibile. I certificati SSL scadono continuamente e vengono rinnovati dopo la loro scadenza, inoltre solo perché il certificato è scaduto non significa che il certificato non può più essere utilizzato.
Ramhound,
1
È importante affermare che l'impostazione di una data di scadenza per la chiave non è una protezione contro la sua compromissione. Un utente malintenzionato malintenzionato, se ottiene la chiave privata, può comunque prolungare la validità della chiave. Pertanto è fortemente raccomandato disporre di un certificato di revoca.
David,

Risposte:

49

Sì, puoi rinnovarlo in qualsiasi momento. Ecco come farlo:

gpg --list-keys
gpg --edit-key (key id)

Ora sei nella console di gpg. (Per impostazione predefinita, stai lavorando sulla chiave primaria.) Se devi aggiornare una sottochiave:

gpg> key 1

Ora puoi impostare la scadenza per il tasto selezionato:

gpg> expire
(follow prompts)
gpg> save

Ora che hai aggiornato la chiave, puoi inviarla:

gpg --keyserver pgp.mit.edu --send-keys (key id)

E sì, avere una data di scadenza per le tue chiavi è un'ottima idea. Non dovresti mai avere una chiave senza data di scadenza. Se è compromesso, potrebbe essere usato per sempre.

Sauce McBoss
fonte
2
Se è compromesso e l'attaccante rinnova la scadenza, come?
fikr4n,
@BornToCode, posso immaginare che in questo caso il vero proprietario della chiave debba revocare la chiave ... game over per un hacker ...
Drew
Sembra che dopo le --send-keys sia necessario aggiungere l'ID chiave
Krenair il
24

Secondo OpenPGP Best Practices su Riseup.net , sì, è possibile e non sembrano esserci raccomandazioni contro di esso:

Le persone pensano che non vogliono che le loro chiavi scadano, ma in realtà lo fai . Perché? Perché puoi sempre prolungare la data di scadenza, anche dopo che è scaduta! Questa "scadenza" è in realtà più una valvola di sicurezza o un "interruttore uomo morto" che si innescherà automaticamente ad un certo punto. Se hai accesso al materiale della chiave segreta, puoi disattivarlo. Il punto è configurare qualcosa per disabilitare la chiave nel caso in cui si perda l'accesso (e non si dispone di un certificato di revoca).

IQAndreas
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.