私はUbuntuで信頼できる多くのデバイスを実行しており、無人アップグレードによるソフトウェア更新のためにカスタムDebianパッケージリポジトリと同期しています。ただし、リリースファイルの署名に使用されたOpenPGPキーは、気付く前に期限切れになりました。これで、デバイスはOpenPGP公開鍵を自動的に更新してパッケージを認証できなくなり、リポジトリで利用可能な最新のパッケージにアップグレードできなくなります。デバイスでコマンドを手動で実行せずに、この状況から救済する方法はありますか? gpgキーのローテーションを有効にするための標準的な設定は何ですか(クライアントデバイスへの将来の介入なしで)?
それでも秘密鍵にアクセスできる場合は、gpg --edit-key [key-id]
を実行してから、expire
コマンドを使用して、有効期間を簡単に延長できます。このようにして、古いマシンが更新を再度「ピックアップ」し、実際のキーエスクローを投影することができます。また、 "OpenPGP鍵の有効期限はセキュリティに追加されますか?" (編集:クライアントで鍵を更新する必要があることを見逃しましたが、自動的には行われません)もお読みください。
特定のスケジュールでかなり頻繁な(10年以上頻繁に)キーエスクローに対処するための一般的な「OpenPGPの方法」は、プライマリ秘密キーをオフラインに保ち(たとえば、インターネットに接続されていない専用コンピューターで)、エスクローしないことです。 、実際の署名は署名サブキーによって実行されますが、マシンへの信頼を失うことなく簡単にエスクローできます(同時に複数の有効なものを持つことができます)。
別の方法として、古い信頼できるOpenPGP鍵が期限切れになる前に、新しい信頼できるOpenPGP鍵をインストールすることもできます。