Làm thế nào để làm mới một cặp khóa đã hết hạn với gpg

Cách tốt nhất để làm mới một cặp khóa gpg khi nó đã hết hạn và lý do của phương pháp là gì?

Cặp khóa đã được ký bởi nhiều người dùng và có sẵn trên các máy chủ công cộng.

• Khóa mới có nên là khóa con của khóa riêng đã hết hạn không?

• Nó có nên được ký bởi cái cũ (tôi có thể cố gắng chỉnh sửa khóa và thay đổi ngày hết hạn sang ngày mai)?

• Chìa khóa mới có nên ký tên cũ?

Khóa riêng không bao giờ hết hạn. Chỉ có khóa công khai làm. Nếu không, thế giới sẽ không bao giờ nhận thấy sự hết hạn vì (hy vọng) thế giới không bao giờ nhìn thấy các khóa riêng.

Đối với phần quan trọng, chỉ có một cách, để lưu một cuộc thảo luận về ưu và nhược điểm.

Bạn phải mở rộng tính hợp lệ của khóa chính:

gpg --edit-key 0x12345678
gpg> expire
...
gpg> save

Bạn phải đưa ra quyết định về việc gia hạn hiệu lực so với thay thế (các) khóa con. Thay thế chúng cung cấp cho bạn bảo mật chuyển tiếp hạn chế (giới hạn trong các khung thời gian khá lớn). Nếu điều đó quan trọng với bạn thì bạn nên có các khóa con (riêng biệt) cho cả mã hóa và ký (mặc định là một khóa chỉ dành cho mã hóa).

gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save

Bạn cần key 1hai lần để chọn và bỏ chọn vì bạn có thể mở rộng hiệu lực của chỉ một khóa tại một thời điểm.

Bạn cũng có thể quyết định gia hạn hiệu lực trừ khi bạn có một số lý do để cho rằng khóa đã bị xâm phạm. Không vứt bỏ toàn bộ chứng chỉ trong trường hợp thỏa hiệp chỉ có ý nghĩa nếu bạn có khóa chính ngoại tuyến (mà IMHO là cách hợp lý duy nhất để sử dụng OpenPGP).

Người dùng chứng chỉ của bạn phải nhận được phiên bản cập nhật của nó (cho chữ ký khóa mới hoặc cho (các) khóa mới). Việc thay thế làm cho khóa lớn hơn một chút nhưng đó không phải là vấn đề.

Nếu bạn sử dụng thẻ thông minh (hoặc dự định làm như vậy) thì việc có thêm khóa (mã hóa) sẽ tạo ra sự bất tiện nhất định (thẻ có khóa mới không thể giải mã dữ liệu cũ).