web-dev-qa-db-ja.com

有効期限が切れたキーペアをgpgで更新する方法

有効期限が切れたときにgpgキーペアを更新するための最良の方法は何ですかと、メソッドの理由は何ですか?

キーペアはすでに多くのユーザーによって署名されており、パブリックサーバーで利用できます。

  • 新しいキーは、期限切れの秘密キーのサブキーにする必要がありますか?

  • 古いもので署名する必要がありますか(キーを編集して有効期限を明日に変更することもできます)?

  • 新しいキーは古いキーに署名する必要がありますか?

99
Jonas Stein

秘密鍵は期限切れになりません。公開鍵だけが行います。さもなければ、世界は(うまくいけば)秘密鍵を見ることがないので、期限切れに気付くことは決してないでしょう。

重要な部分については、1つの方法しかないため、賛否両論についての議論を省くことができます。

メインキーの有効性を拡張する必要があります:

gpg --edit-key 0x12345678
gpg> expire
...
gpg> save

サブキーの有効期限を延長するか、サブキーを置き換えるかを決定する必要があります。それらを置き換えると、転送セキュリティが制限されます(かなり長い時間枠に制限されます)。それが重要な場合は、暗号化と署名の両方に(個別の)サブキーを用意する必要があります(デフォルトは暗号化のみのキーです)。

gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save

一度に1つのキーのみの有効性を拡張できるため、選択と選択解除にはkey 1が2回必要です。

キーが危険にさらされていると想定する何らかの理由がない限り、有効期間を延長することもできます。侵害された場合に証明書全体を破棄しないことは、オフラインのメインキーがある場合にのみ意味があります(これは、いずれにせよ、OpenPGPを使用するための唯一の合理的な方法です)。

証明書のユーザーは、とにかく(新しいキー署名または新しいキーのために)更新されたバージョンを取得する必要があります。交換するとキーが少し大きくなりますが、それは問題ではありません。

スマートカードを使用している場合(またはそうする予定がある場合)、さらに(暗号化)キーを使用すると、一定の不便が生じます(新しいキーのカードでは古いデータを復号化できません)。

116
Hauke Laging