Können Sie das Ablaufdatum eines bereits abgelaufenen GPG-Schlüssels verlängern?

40

Nehmen wir an, ich füge einem GPG / PGP-Schlüssel ein Ablaufdatum hinzu und kann das Ablaufdatum des Schlüssels aus irgendeinem Grund nicht verlängern, bevor seine Zeit abgelaufen ist.

Angenommen, ich habe noch Zugriff auf den privaten Schlüssel (und der öffentliche Schlüssel ist nur abgelaufen, nicht widerrufen worden). Kann ich ihn noch verlängern?

pgp public-key-encryption IQAndreas
quelle
Hinweis: Dies lässt sich schnell und einfach testen, indem Sie einfach einen neuen Schlüssel erstellen, der in fünf Minuten abläuft. Ich suche jedoch nach Antworten wie "Ja, Sie können es in GPG erneuern, aber einige PGP-Clients werfen Fehler." oder "Nein, wenn die Schlüssel nach Ablauf keine aktualisierte Version haben, prüft GPG nicht mehr, ob auf dem Keyserver eine neuere Version verfügbar ist." oder "Es ist eine schlechte Praxis, stattdessen ein neues Schlüsselpaar zu erstellen."
IQAndreas
Ja; Ich sehe keinen Grund, warum es nicht möglich wäre. SSL-Zertifikate laufen ständig ab und werden nach Ablauf erneuert. Außerdem bedeutet dies nicht, dass das Zertifikat nicht mehr verwendet werden kann, nur weil das Zertifikat abgelaufen ist.
Ramhound
1
Es ist wichtig zu betonen, dass das Festlegen eines Ablaufdatums für Ihren Schlüssel keinen Schutz vor einer Gefährdung bietet. Ein böswilliger Angreifer kann die Gültigkeit des Schlüssels verlängern, wenn er an Ihren privaten Schlüssel gelangt. Ein Widerrufszertifikat wird daher nach wie vor dringend empfohlen.
David

Antworten:

49

Ja, Sie können es jederzeit verlängern. So geht's:

gpg --list-keys
gpg --edit-key (key id)

Jetzt sind Sie in der GPG-Konsole. (Standardmäßig arbeiten Sie am Primärschlüssel.) Wenn Sie einen Unterschlüssel aktualisieren müssen:

gpg> key 1

Jetzt können Sie das Ablaufdatum für den ausgewählten Schlüssel festlegen:

gpg> expire
(follow prompts)
gpg> save

Nachdem Sie Ihren Schlüssel aktualisiert haben, können Sie ihn senden:

gpg --keyserver pgp.mit.edu --send-keys (key id)

Und ja, ein Ablaufdatum für Ihre Schlüssel ist eine sehr gute Idee. Sie sollten nie wirklich einen Schlüssel ohne Ablaufdatum haben. Wenn es kompromittiert ist, könnte es für immer verwendet werden.

Soße McBoss
quelle
2
Wenn es kompromittiert ist und der Angreifer das Ablaufdatum erneuert, wie?
Fikr4n
@BornToCode, ich kann mir vorstellen, dass in diesem Fall der echte Schlüsselbesitzer den Schlüssel widerrufen muss ... für einen Hacker ist das Spiel vorbei ...
Drew
Es scheint, dass Sie nach den --send-Tasten die Schlüssel-ID hinzufügen müssen
Krenair
24

Laut OpenPGP Best Practices auf Riseup.net ist dies möglich, und es scheint keine Empfehlungen dagegen zu geben:

Die Leute denken, dass sie nicht wollen, dass ihre Schlüssel ablaufen, aber Sie tun es tatsächlich . Warum? Denn Sie können Ihr Ablaufdatum jederzeit verlängern, auch wenn es abgelaufen ist! Dieses "Ablaufen" ist eigentlich eher ein Sicherheitsventil oder ein "Totmannschalter", der irgendwann automatisch auslöst. Wenn Sie Zugriff auf das geheime Schlüsselmaterial haben, können Sie es auslösen. Der Punkt ist, etwas einzurichten, um Ihren Schlüssel zu deaktivieren, falls Sie den Zugriff darauf verlieren (und kein Widerrufszertifikat haben).

IQAndreas
quelle