Czy możesz przedłużyć datę ważności już wygasłego klucza GPG?

41

Powiedzmy, że dodałem datę ważności klucza GPG / PGP, a następnie z jakiegoś powodu nie jestem w stanie przedłużyć daty ważności klucza, zanim upłynie jego czas.

Zakładając, że nadal mam dostęp do klucza prywatnego (a klucz publiczny wygasł, a nie został odwołany), czy mogę go odnowić?

IQAndreas
źródło
Uwaga: testowanie tego byłoby szybkie i łatwe, po prostu tworząc nowy klucz, który wygasa za pięć minut. Jednak szukam odpowiedzi takich jak „Tak, możesz odnowić je w GPG, ale niektórzy klienci PGP zgłaszają błędy”. lub „Nie, jeśli klucz nie ma zaktualizowanej wersji po wygaśnięciu, GPG przestanie sprawdzać, czy na serwerze kluczy dostępna jest nowsza wersja”. lub „To zła praktyka, zamiast tego utwórz nową parę kluczy”.
IQAndreas
Tak; Nie widzę powodu, dla którego nie byłoby to możliwe. Certyfikaty SSL wygasają przez cały czas i są odnawiane po ich wygaśnięciu, ponadto tylko dlatego, że certyfikat wygasł nie oznacza, że ​​certyfikat nie może być dłużej używany.
Ramhound,
1
Ważne jest stwierdzenie, że ustawienie daty wygaśnięcia klucza nie stanowi ochrony przed jego naruszeniem. Złośliwy napastnik może, jeśli zdobędzie Twój klucz prywatny, nadal przedłużyć jego ważność. Dlatego posiadanie certyfikatu unieważnienia jest nadal wysoce zalecane.
David

Odpowiedzi:

49

Tak, możesz go odnowić w dowolnym momencie. Oto jak to zrobić:

gpg --list-keys
gpg --edit-key (key id)

Teraz jesteś w konsoli gpg. (Domyślnie pracujesz na kluczu podstawowym.) Jeśli musisz zaktualizować podklucz:

gpg> key 1

Teraz możesz ustawić datę ważności wybranego klucza:

gpg> expire
(follow prompts)
gpg> save

Po zaktualizowaniu klucza możesz go wysłać:

gpg --keyserver pgp.mit.edu --send-keys (key id)

I tak, posiadanie daty ważności kluczy jest bardzo dobrym pomysłem. Tak naprawdę nigdy nie powinieneś mieć klucza bez daty ważności. Jeśli zostanie naruszony, można go używać na zawsze.

Sos McBoss
źródło
2
Jeśli zostanie to naruszone, a atakujący odnowi datę wygaśnięcia, w jaki sposób?
fikr4n
@BornToCode, zgaduję, że w tym przypadku prawdziwy właściciel klucza musi cofnąć klucz ... grę dla hakera ...
Drew
Wygląda na to, że po --send-keys musisz dodać identyfikator klucza
Krenair
24

Według najlepszych praktyk OpenPGP na Riseup.net , tak, jest to możliwe i wydaje się, że nie ma żadnych zaleceń przeciwko:

Ludzie myślą, że nie chcą, aby ich klucze wygasły, ale tak się dzieje . Czemu? Ponieważ zawsze możesz przedłużyć datę ważności, nawet po jej upływie! To „wygaśnięcie” jest w rzeczywistości bardziej zaworem bezpieczeństwa lub „wyłącznikiem bezpieczeństwa”, który w pewnym momencie automatycznie się uruchomi. Jeśli masz dostęp do tajnego klucza, możesz go odblokować. Chodzi o to, aby skonfigurować coś, aby wyłączyć klucz w przypadku utraty dostępu do niego (i nie masz certyfikatu odwołania).

IQAndreas
źródło