Bạn có thể gia hạn ngày hết hạn của khóa GPG đã hết hạn không?


41

Hãy nói rằng tôi thêm ngày hết hạn vào khóa GPG / PGP, sau đó vì một số lý do không thể gia hạn ngày hết hạn của khóa trước khi hết thời gian.

Giả sử tôi vẫn có quyền truy cập vào khóa riêng (và khóa chung chỉ hết hạn, chưa bị thu hồi) tôi vẫn có thể gia hạn không?


Lưu ý: Điều này sẽ nhanh chóng và dễ dàng để kiểm tra bằng cách chỉ cần tạo một khóa mới hết hạn sau năm phút. Tuy nhiên, tôi đang tìm kiếm câu trả lời như "Có, bạn có thể gia hạn nó trong GPG, nhưng một số khách hàng PGP sẽ gặp lỗi." hoặc "Không, nếu khóa không có phiên bản cập nhật khi hết hạn, GPG sẽ ngừng kiểm tra xem phiên bản mới hơn có khả dụng trên máy chủ khóa hay không." hoặc "Đó là thực tế xấu, thay vào đó hãy tạo một cặp khóa mới."
IQAndreas

Vâng; Tôi thấy không có lý do gì nó sẽ không thể. Chứng chỉ SSL hết hạn mọi lúc và được gia hạn sau khi chúng hết hạn, hơn nữa chỉ vì chứng chỉ hết hạn không có nghĩa là chứng chỉ không thể sử dụng được nữa.
Ramhound

1
Điều quan trọng là tuyên bố rằng việc đặt ngày hết hạn cho khóa của bạn là không bảo vệ chống lại việc bị xâm phạm. Kẻ tấn công độc hại có thể, nếu anh ta nắm giữ khóa riêng của bạn, vẫn kéo dài hiệu lực của khóa. Do đó, có một giấy chứng nhận thu hồi vẫn còn rất nhiều khuyến khích.
David

Câu trả lời:


49

Có, bạn có thể gia hạn bất cứ lúc nào. Đây là cách thực hiện:

gpg --list-keys
gpg --edit-key (key id)

Bây giờ bạn đang ở trong bảng điều khiển gpg. (Theo mặc định, bạn đang làm việc trên khóa chính.) Nếu bạn cần cập nhật khóa phụ:

gpg> key 1

Bây giờ bạn có thể đặt hết hạn cho khóa đã chọn:

gpg> expire
(follow prompts)
gpg> save

Bây giờ bạn đã cập nhật khóa của mình, bạn có thể gửi nó ra:

gpg --keyserver pgp.mit.edu --send-keys (key id)

Và, vâng, có một ngày hết hạn cho chìa khóa của bạn là một ý tưởng rất tốt. Bạn không bao giờ nên thực sự có một chìa khóa không có ngày hết hạn. Nếu nó bị xâm phạm, nó có thể được sử dụng mãi mãi.


2
Nếu nó bị xâm phạm và kẻ tấn công gia hạn hết hạn, làm thế nào?
fikr4n

@BornToCode, tôi có thể đoán rằng trong trường hợp này chủ sở hữu chìa khóa thực sự có thu hồi chìa khóa ... game over cho một hacker ...
Drew

Có vẻ như sau các phím --send, bạn cần thêm ID khóa
Krenair

24

Theo Thực tiễn tốt nhất của OpenPGP trên Riseup.net , vâng, điều đó là có thể, và dường như không có bất kỳ khuyến nghị nào chống lại nó:

Mọi người nghĩ rằng họ không muốn chìa khóa của họ hết hạn, nhưng bạn thực sự làm vậy . Tại sao? Bởi vì bạn luôn có thể gia hạn ngày hết hạn, ngay cả khi đã hết hạn! Điều này hết hạn sử dụng trên truyền hình trực tiếp, một trò chơi van chết người khác thực sự sẽ tự động kích hoạt một số van. Nếu bạn có quyền truy cập vào tài liệu khóa bí mật, bạn có thể giải phóng nó. Vấn đề là thiết lập một cái gì đó để vô hiệu hóa khóa của bạn trong trường hợp bạn mất quyền truy cập vào nó (và không có chứng nhận hủy bỏ).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.