Cara memperbarui keypair kedaluwarsa dengan gpg

83

Apa cara terbaik untuk memperbarui pasangan kunci gpg ketika sudah kedaluwarsa dan apa alasan metode ini?

Pasangan kunci sudah ditandatangani oleh banyak pengguna dan tersedia di server publik.

  • Haruskah kunci baru menjadi subkunci dari kunci privat yang kadaluwarsa?

  • Haruskah itu ditandatangani oleh yang lama (saya bisa mencoba mengedit kunci dan mengubah tanggal kedaluwarsa menjadi besok)?

  • Haruskah kunci baru menandatangani yang lama?

Jonas Stein
sumber

Jawaban:

96

Kunci pribadi tidak pernah kedaluwarsa. Hanya kunci publik yang melakukannya. Kalau tidak, dunia tidak akan pernah melihat kedaluwarsa sebagai (semoga) dunia tidak pernah melihat kunci pribadi.

Untuk bagian yang penting, hanya ada satu cara, sehingga menyimpan diskusi tentang pro dan kontra.

Anda harus memperpanjang validitas kunci utama:

gpg --edit-key 0x12345678
gpg> expire
...
gpg> save

Anda harus membuat keputusan tentang memperluas validitas vs mengganti subkunci. Mengganti mereka memberi Anda keamanan maju terbatas (terbatas pada kerangka waktu yang agak besar). Jika itu penting bagi Anda, maka Anda harus memiliki subkey (terpisah) untuk enkripsi dan penandatanganan (standarnya adalah satu untuk enkripsi saja).

gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save

Anda perlu key 1dua kali untuk memilih dan membatalkan pilihan karena Anda dapat memperpanjang validitas hanya satu kunci pada satu waktu.

Anda juga dapat memutuskan untuk memperpanjang validitas kecuali Anda memiliki alasan untuk menganggap kunci telah dikompromikan. Tidak membuang seluruh sertifikat jika ada kompromi masuk akal hanya jika Anda memiliki kunci utama offline (yang IMHO adalah satu-satunya cara masuk akal untuk menggunakan OpenPGP).

Pengguna sertifikat Anda harus mendapatkan versi yang diperbarui (baik untuk tanda tangan kunci baru atau kunci baru). Mengganti membuat kunci sedikit lebih besar tetapi itu tidak masalah.

Jika Anda menggunakan kartu pintar (atau berencana untuk melakukannya) maka memiliki lebih banyak (enkripsi) kunci menciptakan ketidaknyamanan tertentu (kartu dengan kunci baru tidak dapat mendekripsi data lama).

Hauke ​​Laging
sumber
Saya gpg> expire Need the secret key to do this. mengerti : Ada ide bagaimana menyiasatinya?
Felix
7
@ Feliks Anda tidak perlu mencari-cari kunci pribadi. Itu adalah dasar dari kriptografi PK.
Hauke ​​Laging
8
Ironis bahwa kunci diperbarui dengan "kedaluwarsa"
David Costa
2
Saya percaya expireperintah itu benar-benar menuntun Anda melalui pengaturan waktu kedaluwarsa pada kunci, jadi mungkin Anda "memperbarui" kunci dengan hanya mengatur waktu kedaluwarsa lebih jauh ke masa depan?
Viktor Haag