Який найкращий спосіб поновити пару ключів gpg, коли термін його дії закінчився, і що є причиною методу?
Пара ключів вже підписана багатьма користувачами та доступна на загальнодоступних серверах.
Чи повинен новий ключ бути підрозділом закритого закритого ключа?
Чи повинен він бути підписаний старим (я міг би спробувати відредагувати ключ і змінити дату закінчення терміну дії на завтра)?
Чи повинен новий ключ підписувати старий?
Відповіді:
Приватні ключі ніколи не закінчуються. Лише відкриті ключі роблять. Інакше світ ніколи не помітить закінчення терміну дії, оскільки (сподіваємось) світ ніколи не бачить приватних ключів.
Що стосується важливої частини, існує лише один спосіб, який дозволяє економити дискусію про плюси і мінуси.
Ви повинні продовжити термін дії основного ключа:
gpg --edit-key 0x12345678
gpg> expire
...
gpg> save
Ви повинні прийняти рішення про продовження терміну дії по відношенню до заміни підрозділу. Заміна їх забезпечує обмежену безпеку вперед (обмежена досить великими часовими рамками). Якщо це важливо для вас, тоді у вас повинні бути (окремі) підрозділи і для шифрування, і для підписання (за замовчуванням - лише для шифрування).
gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save
Щоб key 1вибрати та скасувати вибір, вам потрібно двічі, оскільки ви можете продовжити термін дії лише однієї клавіші за один раз.
Ви також можете вирішити продовжити термін дії, якщо у вас є якісь підстави припустити, що ключ порушений. Не викидати весь сертифікат у разі компромісу має сенс, лише якщо у вас є головний ключ в автономному режимі (який IMHO є єдиним розумним способом використання OpenPGP у будь-якому разі).
Користувачі вашого сертифіката в будь-якому разі повинні отримати його оновлену версію (або для нових підписів ключів, або для нового ключа). Заміна робить ключ трохи більшим, але це не є проблемою.
Якщо ви використовуєте смарт-карти (або плануєте це зробити), то наявність додаткових ключів (шифрування) створює певні незручності (картка з новим ключем не може розшифрувати старі дані).
expireкоманда насправді проводить вас через встановлення терміну придатності на ключ, тож, можливо, ви "поновите" ключ, просто встановивши термін придатності далі в майбутнє?
gpg> expire Need the secret key to do this.Будь-які ідеї, як це обійти?