Jak odnowić wygasłą parę kluczy za pomocą gpg

82

Jaki jest najlepszy sposób na odnowienie pary kluczy gpg, gdy wygasła i jaki jest powód tej metody?

Para kluczy jest już podpisana przez wielu użytkowników i dostępna na serwerach publicznych.

  • Czy nowy klucz powinien być podkluczem wygasłego klucza prywatnego?

  • Czy powinien być podpisany przez starego (mógłbym spróbować edytować klucz i zmienić datę wygaśnięcia na jutro)?

  • Czy nowy klucz powinien oznaczać stary?

Jonas Stein
źródło

Odpowiedzi:

95

Klucze prywatne nigdy nie wygasają. Działają tylko klucze publiczne. W przeciwnym razie świat nigdy nie zauważyłby wygaśnięcia, ponieważ (mam nadzieję) świat nigdy nie zobaczy kluczy prywatnych.

Co ważne, istnieje tylko jeden sposób, dzięki czemu oszczędza się dyskusja na temat zalet i wad.

Musisz przedłużyć ważność klucza głównego:

gpg --edit-key 0x12345678
gpg> expire
...
gpg> save

Musisz podjąć decyzję o przedłużeniu ważności kontra zastąpieniu podklucza (-ów). Zastąpienie ich zapewnia ograniczone bezpieczeństwo przesyłania do przodu (ograniczone do raczej dużych ram czasowych). Jeśli jest to dla Ciebie ważne, powinieneś mieć (oddzielne) podklucze zarówno do szyfrowania, jak i podpisywania (domyślnie jest to jeden tylko do szyfrowania).

gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save

Potrzebujesz key 1dwa razy do zaznaczania i odznaczania, ponieważ możesz przedłużyć ważność tylko jednego klucza na raz.

Możesz także zdecydować o przedłużeniu ważności, chyba że masz powód, by przypuszczać, że klucz został naruszony. Nie wyrzucanie całego certyfikatu w przypadku kompromisu ma sens tylko wtedy, gdy masz główny klucz offline (który IMHO jest jedynym rozsądnym sposobem korzystania z OpenPGP).

Użytkownicy Twojego certyfikatu i tak muszą uzyskać jego zaktualizowaną wersję (dla nowych podpisów kluczy lub dla nowych kluczy). Wymiana powoduje, że klucz jest nieco większy, ale to nie jest problem.

Jeśli używasz kart inteligentnych (lub planujesz to zrobić), posiadanie większej liczby kluczy (szyfrowania) stwarza pewną niedogodność (karta z nowym kluczem nie może odszyfrować starych danych).

Hauke ​​Laging
źródło
Uderzyłem to: gpg> expire Need the secret key to do this. jakieś pomysły, jak to obejść?
Felix
7
@ Felix Nie omijasz potrzeby posiadania kluczy prywatnych. To jest podstawa kryptografii PK.
Hauke ​​Laging
8
Ironiczne jest to, że klucze są odnawiane z „wygasają”
David Costa
2
Wierzę, że expirepolecenie faktycznie prowadzi cię przez ustawianie czasu wygaśnięcia klucza, więc może „odnawiasz” klucz, ustawiając czas wygaśnięcia w przyszłości?
Viktor Haag