So verlängern Sie ein abgelaufenes Schlüsselpaar mit gpg

82

Was ist der beste Weg, um ein gpg-Schlüsselpaar nach Ablauf zu erneuern und was ist der Grund für die Methode?

Das Schlüsselpaar ist bereits von vielen Benutzern signiert und auf öffentlichen Servern verfügbar.

  • Sollte der neue Schlüssel ein Unterschlüssel des abgelaufenen privaten Schlüssels sein?

  • Sollte es von dem alten unterschrieben werden (ich könnte versuchen, den Schlüssel zu bearbeiten und das Ablaufdatum auf morgen zu ändern)?

  • Soll der neue Schlüssel den alten unterschreiben?

gpg maintenance Jonas Stein
quelle

Antworten:

95

Private Schlüssel verfallen nie. Dies tun nur öffentliche Schlüssel. Andernfalls würde die Welt den Ablauf niemals bemerken, da (hoffentlich) die Welt die privaten Schlüssel niemals sieht.

Für den wichtigen Teil gibt es nur einen Weg, so dass eine Diskussion über Vor- und Nachteile erspart bleibt.

Sie müssen die Gültigkeit des Hauptschlüssels verlängern:

gpg --edit-key 0x12345678
gpg> expire
...
gpg> save

Sie müssen eine Entscheidung über die Verlängerung der Gültigkeit oder das Ersetzen der Unterschlüssel treffen. Wenn Sie sie ersetzen, erhalten Sie eine eingeschränkte Sicherheit für die Weiterleitung (beschränkt auf relativ große Zeiträume). Wenn Ihnen das wichtig ist, sollten Sie (separate) Unterschlüssel für die Verschlüsselung und das Signieren haben (standardmäßig nur für die Verschlüsselung).

gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save

Sie müssen key 1zweimal auswählen und die Auswahl aufheben, da Sie die Gültigkeit von jeweils nur einem Schlüssel verlängern können.

Sie können auch die Gültigkeit verlängern, es sei denn, Sie haben Grund zu der Annahme, dass der Schlüssel kompromittiert wurde. Es ist nur dann sinnvoll, wenn Sie einen Offline-Hauptschlüssel haben (der IMHO-Modus ist ohnehin der einzig sinnvolle Weg, OpenPGP zu verwenden), wenn Sie nicht das gesamte Zertifikat im Falle einer Kompromittierung wegwerfen.

Die Benutzer Ihres Zertifikats müssen ohnehin die aktualisierte Version erhalten (entweder für die neuen Schlüsselsignaturen oder für die neuen Schlüssel). Durch das Ersetzen wird der Schlüssel etwas größer, aber das ist kein Problem.

Wenn Sie Smartcards verwenden (oder planen, dies zu tun), führt das Vorhandensein von mehr (Verschlüsselungs-) Schlüsseln zu gewissen Unannehmlichkeiten (eine Karte mit dem neuen Schlüssel kann alte Daten nicht entschlüsseln).

Hauke ​​Laging
quelle
Ich schlage vor: gpg> expire Need the secret key to do this. Irgendwelche Ideen, wie man das umgehen kann?
Felix
7
@Felix Sie kommen nicht um den Bedarf an privaten Schlüsseln herum. Das ist die Basis der PK-Kryptographie.
Hauke ​​Laging
8
Ironischerweise, dass die Schlüssel mit "verfallen" erneuert werden
David Costa
2
Ich glaube, der expireBefehl führt Sie tatsächlich durch das Festlegen der Ablaufzeit für einen Schlüssel. Sie können den Schlüssel also "erneuern", indem Sie die Ablaufzeit nur weiter in die Zukunft verschieben.
Viktor Haag