Pouvez-vous prolonger la date d'expiration d'une clé GPG déjà expirée?

41

Disons que j'ajoute une date d'expiration à une clé GPG / PGP, puis pour une raison quelconque, je ne suis pas en mesure de prolonger la date d'expiration de la clé avant la fin de son heure.

En supposant que j'ai toujours accès à la clé privée (et que la clé publique est expirée, non révoquée), puis-je la renouveler?

IQAndreas
la source
Remarque: Ce serait rapide et facile à tester en créant simplement une nouvelle clé qui expire dans cinq minutes. Cependant, je recherche des réponses telles que "Oui, vous pouvez le renouveler dans GPG, mais certains clients PGP génèrent des erreurs." ou "Non, si les clés n'ont pas de version mise à jour à leur expiration, GPG cessera de vérifier si une version plus récente est disponible sur le serveur de clés." ou "C'est une mauvaise pratique, créez plutôt une nouvelle paire de clés."
IQAndreas
Oui; Je ne vois aucune raison pour laquelle ce ne serait pas possible. Les certificats SSL expirent tout le temps et sont renouvelés après leur expiration, en outre simplement parce que le certificat a expiré ne signifie pas qu'il ne peut plus être utilisé.
Ramhound
1
Il est important de préciser que la définition d'une date d'expiration pour votre clé n'est pas une protection contre sa compromission. Un attaquant malveillant pourrait, s'il met la main sur votre clé privée, prolonger la validité de la clé. Par conséquent, il est toujours fortement recommandé d'avoir un certificat de révocation.
David

Réponses:

49

Oui, vous pouvez le renouveler à tout moment. Voici comment procéder:

gpg --list-keys
gpg --edit-key (key id)

Vous êtes maintenant dans la console gpg. (Par défaut, vous travaillez sur la clé primaire.) Si vous devez mettre à jour une sous-clé:

gpg> key 1

Vous pouvez maintenant définir l'expiration de la clé sélectionnée:

gpg> expire
(follow prompts)
gpg> save

Maintenant que vous avez mis à jour votre clé, vous pouvez l'envoyer:

gpg --keyserver pgp.mit.edu --send-keys (key id)

Et, oui, avoir une date d'expiration pour vos clés est une très bonne idée. Vous ne devriez jamais vraiment avoir de clé sans date d'expiration. S'il est compromis, il pourrait être utilisé pour toujours.

Sauce McBoss
la source
2
S'il est compromis et que l'attaquant renouvelle l'expiration, comment?
fikr4n
@BornToCode, je peux deviner que dans ce cas, le véritable propriétaire de la clé doit révoquer la clé ... le jeu est terminé pour un pirate ...
Drew
Il semble qu'après les --send-keys, vous devez ajouter l'ID de la clé
Krenair
24

Selon les meilleures pratiques d'OpenPGP sur Riseup.net , oui, c'est possible, et il ne semble pas y avoir de recommandations contre:

Les gens pensent qu'ils ne veulent pas que leurs clés expirent, mais vous le faites en fait . Pourquoi? Parce que vous pouvez toujours prolonger votre date d'expiration, même après son expiration! Cette «expiration» est en fait davantage une soupape de sécurité ou un «interrupteur homme mort» qui se déclenchera automatiquement à un moment donné. Si vous avez accès à la clé secrète, vous pouvez la déclencher. Le point est de configurer quelque chose pour désactiver votre clé au cas où vous perdriez l'accès à celle-ci (et n'avez pas de certificat de révocation).

IQAndreas
la source