Come rinnovare una coppia di chiavi scaduta con gpg


83

Qual è il modo migliore per rinnovare una coppia di chiavi gpg quando è scaduta e qual è la ragione del metodo?

La coppia di chiavi è già firmata da molti utenti e disponibile su server pubblici.

  • La nuova chiave dovrebbe essere una sottochiave della chiave privata scaduta?

  • Dovrebbe essere firmato dal vecchio (potrei provare a modificare la chiave e cambiare la data di scadenza a domani)?

  • La nuova chiave dovrebbe firmare quella vecchia?

Risposte:


96

Le chiavi private non scadono mai. Lo fanno solo le chiavi pubbliche. Altrimenti, il mondo non noterebbe mai la scadenza in quanto (si spera) il mondo non vede mai le chiavi private.

Per la parte importante, c'è solo un modo, in modo da salvare una discussione su pro e contro.

Devi estendere la validità della chiave principale:

gpg --edit-key 0x12345678
gpg> expire
...
gpg> save

È necessario prendere una decisione sull'estensione della validità rispetto alla sostituzione delle sottochiavi. La loro sostituzione offre una sicurezza in avanti limitata (limitata a intervalli di tempo piuttosto grandi). Se questo è importante per te, allora dovresti avere sottochiavi (separate) sia per la crittografia che per la firma (l'impostazione predefinita è solo per la crittografia).

gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save

È necessario key 1due volte per selezionare e deselezionare perché è possibile estendere la validità di una sola chiave alla volta.

Potresti anche decidere di estendere la validità a meno che tu non abbia qualche motivo per ritenere che la chiave sia stata compromessa. Non gettare via l'intero certificato in caso di compromesso ha senso solo se si dispone di una chiave principale offline (che IMHO è l'unico modo ragionevole per utilizzare OpenPGP comunque).

Gli utenti del certificato devono comunque ottenere la versione aggiornata (sia per le nuove firme delle chiavi sia per le nuove chiavi). La sostituzione rende la chiave un po 'più grande ma non è un problema.

Se usi le smart card (o prevedi di farlo), avere più chiavi (di crittografia) crea un certo inconveniente (una carta con la nuova chiave non può decodificare i vecchi dati).


Ho colpito questo: gpg> expire Need the secret key to do this. qualche idea su come aggirare questo?
Felix,

7
@Felix Non si evita la necessità di chiavi private. Questa è la base della crittografia PK.
Hauke ​​Laging,

8
Ironico del fatto che le chiavi vengono rinnovate con "scadenza"
David Costa,

2
Credo che il expirecomando in realtà ti guidi attraverso l'impostazione della scadenza su una chiave, quindi forse "rinnovi" la chiave semplicemente impostando la scadenza oltre nel futuro?
Viktor Haag,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.