Comment renouveler une paire de clés expirée avec gpg

83

Quel est le meilleur moyen de renouveler une paire de clés gpg après son expiration et quelle est la raison de la méthode?

La paire de clés est déjà signée par de nombreux utilisateurs et disponible sur les serveurs publics.

  • La nouvelle clé doit-elle être une sous-clé de la clé privée arrivée à expiration?

  • Devrait-il être signé par l'ancien (je pourrais essayer de modifier la clé et de changer la date d'expiration à demain)?

  • La nouvelle clé doit-elle signer l'ancien?

Jonas Stein
la source

Réponses:

96

Les clés privées n'expirent jamais. Seules les clés publiques le font. Sinon, le monde ne remarquerait jamais l'expiration, car (espérons-le), il ne verrait jamais les clés privées.

Pour l’essentiel, il n’existe qu’un seul moyen, ce qui enregistre une discussion sur les avantages et les inconvénients.

Vous devez prolonger la validité de la clé principale:

gpg --edit-key 0x12345678
gpg> expire
...
gpg> save

Vous devez prendre une décision quant à l’extension de la validité du remplacement des sous-clés. En les remplaçant, vous bénéficiez d'une sécurité avancée limitée (limitée à des délais assez longs). Si cela est important pour vous, vous devez avoir des sous-clés (séparées) pour le cryptage et la signature (la valeur par défaut est une pour le cryptage uniquement).

gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save

Vous avez besoin de key 1deux fois pour sélectionner et désélectionner car vous ne pouvez étendre la validité que d’une clé à la fois.

Vous pouvez également décider de prolonger la validité, sauf si vous avez une raison de penser que la clé a été compromise. Ne pas jeter tout le certificat en cas de compromission n'a de sens que si vous avez une clé principale hors ligne (IMHO étant le seul moyen raisonnable d'utiliser OpenPGP de toute façon).

Les utilisateurs de votre certificat doivent quand même obtenir sa version mise à jour (que ce soit pour les nouvelles signatures de clé ou pour les nouvelles clés). Le remplacement rend la clé un peu plus grande mais ce n’est pas un problème.

Si vous utilisez des cartes à puce (ou prévoyez de le faire), le fait de disposer de plus de clés (de chiffrement) crée un certain inconvénient (une carte avec la nouvelle clé ne peut pas déchiffrer les anciennes données).

Hauke ​​Laging
la source
Je frappe ceci: gpg> expire Need the secret key to do this. Des idées comment contourner cela?
Felix
7
@ Felix Vous n'avez pas besoin de clés privées. C'est la base de la cryptographie PK.
Hauke ​​Laging
8
Ironique que les clés soient renouvelées avec "expire"
David Costa
2
Je crois que la expirecommande vous guide en fait pour définir le délai d'expiration d'une clé, alors peut-être pouvez-vous "renouveler" la clé en fixant simplement le délai d'expiration dans le futur?
Viktor Haag le