Чи можете ви продовжити термін дії вже минулого ключа GPG?


41

Скажімо, я додаю дату закінчення терміну дії до ключа GPG / PGP, то я чомусь не в змозі продовжити дату закінчення терміну дії ключа до його закінчення.

Якщо припустити, що я все ще маю доступ до приватного ключа (а відкритий ключ лише минув, його не було відкликано) чи можу я його все-таки поновити?


Примітка. Це можна швидко та легко перевірити, просто створивши новий ключ, термін дії якого закінчується через п’ять хвилин. Однак я шукаю відповіді, такі як "Так, ви можете поновити його в GPG, але деякі клієнти PGP видадуть помилки". або "Ні, якщо ключі не мають оновленої версії, коли вони закінчуються, GPG перестане перевіряти, чи наявна на сервері клавіш нова версія." або "Це погана практика, замість цього створіть нову пару ключів."
IQAndreas

Так; Я не бачу причини, щоб це було неможливо. Сертифікати SSL закінчуються постійно та поновлюються після закінчення терміну їх дії, крім того, лише тому, що термін дії сертифікату минув, це не означає, що сертифікат більше не може використовуватися.
Рамхаунд

1
Важливо зазначити, що встановлення терміну придатності для вашого ключа - це не захист від його порушення. Зловмисний зловмисник може, якщо він отримає ваш приватний ключ, все-таки продовжить термін дії ключа. Тому настійно рекомендується мати свідоцтво про відкликання.
Девід

Відповіді:


49

Так, ви можете його поновити в будь-який час. Ось як це зробити:

gpg --list-keys
gpg --edit-key (key id)

Тепер ви в консолі gpg. (За замовчуванням ви працюєте над первинним ключем.) Якщо вам потрібно оновити під ключ, виконайте вказані нижче дії.

gpg> key 1

Тепер ви можете встановити термін дії вибраного ключа:

gpg> expire
(follow prompts)
gpg> save

Тепер, коли ви оновили свій ключ, ви можете надіслати його:

gpg --keyserver pgp.mit.edu --send-keys (key id)

І так, мати термін придатності для ваших ключів - дуже гарна ідея. Ви ніколи не повинні мати ключ без дати закінчення терміну придатності. Якщо це компрометовано, його можна було б використовувати назавжди.


2
Якщо це порушено, а зловмисник поновить термін дії, як?
fikr4n

@BornToCode, я можу здогадатися, що в цьому випадку справжній власник ключів повинен відкликати ключ ... гра закінчена для хакера ...
Дрю

Здається, що після --send-ключів вам потрібно додати ідентифікатор ключа
Krenair

24

Згідно кращих практик OpenPGP на Riseup.net , так, це можливо, і проти цього, схоже, немає жодних рекомендацій:

Люди думають, що вони не хочуть, щоб їх ключі закінчувалися, але ви насправді так робите . Чому? Тому що ви завжди можете продовжити термін придатності, навіть після закінчення терміну його дії! Цей "термін дії" насправді є більш запобіжним клапаном або "мертвим вимикачем", який автоматично спрацює в певний момент. Якщо у вас є доступ до матеріалу секретного ключа, ви можете скасувати його. Сенс у тому, щоб налаштувати щось, щоб відключити ваш ключ, якщо ви втратите доступ до нього (і не маєте посвідчення про відкликання).

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.