gpgを使用して期限切れのキーペアを更新する方法


82

gpgキーペアが期限切れになったとき更新する最良の方法は何ですか?また、メソッドの理由は何ですか?

キーペアはすでに多くのユーザーによって署名されており、公開サーバーで利用できます。

  • 新しいキーは期限切れの秘密キーのサブキーである必要がありますか?

  • 古い人が署名する必要があります(キーを編集し、有効期限を明日に変更することもできますか?)

  • 新しいキーは古いキーに署名する必要がありますか?

回答:


95

秘密鍵の有効期限はありません。公開鍵のみが行います。そうしないと、(願わくば)秘密鍵が見えないため、世界は期限切れに気付かないでしょう。

重要な部分については、唯一の方法があるため、賛否両論についての議論を省くことができます。

メインキーの有効性を拡張する必要があります。

gpg --edit-key 0x12345678
gpg> expire
...
gpg> save

サブキーの置換と置換の有効性を拡張するかどうかを決定する必要があります。それらを置き換えると、転送セキュリティが制限されます(かなり大きな時間枠に制限されます)。それが重要な場合は、暗号化と署名の両方に(別個の)サブキーが必要です(デフォルトは暗号化専用です)。

gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save

key 1一度に1つのキーのみの有効性を拡張できるため、選択と選択解除に2回必要です。

また、キーが侵害されたと推測する理由がない限り、有効性を拡張することもできます。侵害された場合に証明書全体を破棄しないのは、オフラインのメインキーがある場合にのみ意味があります(とにかく、私見がOpenPGPを使用する唯一の合理的な方法です)。

証明書のユーザーは、とにかく(新しいキー署名または新しいキーのために)更新されたバージョンを取得する必要があります。交換するとキーが少し大きくなりますが、それは問題ではありません。

スマートカードを使用する(またはそのように計画する)場合、より多くの(暗号化)キーがあると、特定の不便が生じます(新しいキーを持つカードは古いデータを復号化できません)。


私はこれを打ちました:これをgpg> expire Need the secret key to do this. 回避する方法はありますか?
フェリックス

7
@Felix秘密鍵の必要性を回避することはできません。これがPK暗号の基礎です。
ホークレイジング

8
皮肉なことに、鍵は「期限切れ」で更新されます
デビッドコスタ

2
私は信じているexpireコマンドは、実際にキーに有効期限を設定する手順を説明しますので、おそらくあなただけの将来へのさらなる有効期限を設定することで、キーを「更新しますか」?
ヴィクトルハーグ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.