Bisakah Anda memperpanjang tanggal kedaluwarsa kunci GPG yang sudah kedaluwarsa?

41

Katakanlah saya menambahkan tanggal kedaluwarsa ke kunci GPG / PGP, maka karena alasan tertentu saya tidak dapat memperpanjang tanggal kedaluwarsa kunci sebelum waktunya habis.

Dengan asumsi saya masih memiliki akses ke kunci privat (dan kunci publik hanya kadaluarsa, belum dicabut) dapatkah saya memperbaruinya?

pgp public-key-encryption IQAndreas
sumber
Catatan: Ini akan cepat dan mudah diuji dengan hanya membuat kunci baru yang kedaluwarsa dalam lima menit. Namun, saya mencari jawaban seperti "Ya, Anda dapat memperbaruinya di GPG, tetapi beberapa klien PGP akan melakukan kesalahan." atau "Tidak, jika kunci tidak memiliki versi yang diperbarui ketika mereka kedaluwarsa, GPG akan berhenti memeriksa apakah versi yang lebih baru tersedia di server kunci." atau "Ini praktik buruk, buat pasangan kunci baru sebagai gantinya."
IQAndreas
Iya nih; Saya tidak melihat alasan itu tidak mungkin. Sertifikat SSL kedaluwarsa sepanjang waktu, dan diperbarui setelah habis masa berlakunya, lebih jauh hanya karena sertifikat itu kedaluwarsa tidak berarti sertifikat itu tidak dapat lagi digunakan.
Ramhound
1
Penting untuk menyatakan bahwa menetapkan tanggal kedaluwarsa untuk kunci Anda bukanlah perlindungan agar tidak dikompromikan. Seorang penyerang jahat dapat, jika dia memegang kunci pribadi Anda, masih memperpanjang validitas kunci tersebut. Karena itu memiliki sertifikat pencabutan masih sangat dianjurkan.
David

Jawaban:

49

Ya, Anda dapat memperbaruinya kapan saja. Berikut cara melakukannya:

gpg --list-keys
gpg --edit-key (key id)

Sekarang Anda berada di konsol gpg. (Secara default, Anda sedang mengerjakan kunci utama.) Jika Anda perlu memperbarui sub-kunci:

gpg> key 1

Sekarang Anda dapat mengatur kedaluwarsa untuk kunci yang dipilih:

gpg> expire
(follow prompts)
gpg> save

Sekarang setelah Anda memperbarui kunci Anda, Anda dapat mengirimkannya:

gpg --keyserver pgp.mit.edu --send-keys (key id)

Dan, ya, memiliki tanggal kedaluwarsa untuk kunci Anda adalah ide yang sangat bagus. Anda seharusnya tidak pernah benar-benar memiliki kunci tanpa tanggal kedaluwarsa. Jika dikompromikan, itu bisa digunakan selamanya.

Saus McBoss
sumber
2
Jika itu dikompromikan dan penyerang memperbarui kedaluwarsa, bagaimana?
fikr4n
@BornToCode, saya bisa menebak bahwa dalam kasus ini pemilik kunci yang sebenarnya harus mencabut kunci ... permainan berakhir untuk seorang hacker ...
Drew
Tampaknya setelah kunci - send-key Anda perlu menambahkan ID kunci
Krenair
24

Menurut OpenPGP Best Practices di Riseup.net , ya, itu mungkin, dan sepertinya tidak ada rekomendasi yang menentangnya:

Orang-orang berpikir bahwa mereka tidak ingin kunci mereka kedaluwarsa, tetapi Anda benar - benar melakukannya . Mengapa? Karena Anda selalu dapat memperpanjang tanggal kedaluwarsa, bahkan setelah tanggal kedaluwarsa! "Kedaluwarsa" ini sebenarnya lebih merupakan katup pengaman atau "dead-man switch" yang secara otomatis akan memicu pada beberapa titik. Jika Anda memiliki akses ke materi kunci rahasia, Anda dapat membatalkannya. Intinya adalah mengatur sesuatu untuk menonaktifkan kunci Anda jika Anda kehilangan akses ke sana (dan tidak memiliki sertifikat pencabutan).

IQAndreas
sumber