Le chiavi private non scadono mai. Lo fanno solo le chiavi pubbliche. Altrimenti, il mondo non noterebbe mai la scadenza in quanto (si spera) il mondo non vede mai le chiavi private.
Per la parte importante, c'è solo un modo, in modo da salvare una discussione su pro e contro.
Devi estendere la validità della chiave principale:
gpg --edit-key 0x12345678
gpg> expire
...
gpg> save
È necessario prendere una decisione sull'estensione della validità rispetto alla sostituzione delle sottochiavi. La loro sostituzione offre una sicurezza in avanti limitata (limitata a intervalli di tempo piuttosto grandi). Se questo è importante per te, allora dovresti avere sottochiavi (separate) sia per la crittografia che per la firma (l'impostazione predefinita è solo per la crittografia).
gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save
È necessario key 1
due volte per selezionare e deselezionare perché è possibile estendere la validità di una sola chiave alla volta.
Potresti anche decidere di estendere la validità a meno che tu non abbia qualche motivo per ritenere che la chiave sia stata compromessa. Non gettare via l'intero certificato in caso di compromesso ha senso solo se si dispone di una chiave principale offline (che IMHO è l'unico modo ragionevole per utilizzare OpenPGP comunque).
Gli utenti del certificato devono comunque ottenere la versione aggiornata (sia per le nuove firme delle chiavi sia per le nuove chiavi). La sostituzione rende la chiave un po 'più grande ma non è un problema.
Se usi le smart card (o prevedi di farlo), avere più chiavi (di crittografia) crea un certo inconveniente (una carta con la nuova chiave non può decodificare i vecchi dati).
gpg> expire Need the secret key to do this.
qualche idea su come aggirare questo?