Можете ли вы продлить срок действия уже истекшего ключа GPG?

41

Допустим, я добавляю дату истечения срока действия к ключу GPG / PGP, а затем по какой-то причине не могу продлить срок действия ключа до истечения его времени.

Предполагая, что у меня все еще есть доступ к закрытому ключу (а открытый ключ только истек, но не был отозван), могу ли я продлить его?

IQAndreas
источник
Примечание. Это можно легко и быстро проверить, просто создав новый ключ, срок действия которого истекает через пять минут. Однако я ищу ответы, такие как «Да, вы можете обновить его в GPG, но некоторые клиенты PGP будут выдавать ошибки». или «Нет, если у ключа нет обновленной версии по истечении срока действия, GPG прекратит проверку, доступна ли более новая версия на сервере ключей». или «Это плохая практика, вместо этого создайте новую пару ключей».
IQAndreas
Да; Я не вижу причин, по которым это было бы невозможно. Срок действия сертификатов SSL истекает все время и они обновляются после истечения срока их действия, более того, только потому, что срок действия сертификата истек, не означает, что сертификат больше не может использоваться.
Ramhound
1
Важно отметить, что установка даты истечения срока действия вашего ключа не защищает от его взлома. Злоумышленник может, если он завладеет вашим закрытым ключом, продлить срок действия ключа. Поэтому наличие сертификата отзыва все еще настоятельно рекомендуется.
Дэвид

Ответы:

49

Да, вы можете обновить его в любое время. Вот как это сделать:

gpg --list-keys
gpg --edit-key (key id)

Теперь вы находитесь в консоли gpg. (По умолчанию вы работаете с первичным ключом.) Если вам необходимо обновить подраздел:

gpg> key 1

Теперь вы можете установить срок действия выбранного ключа:

gpg> expire
(follow prompts)
gpg> save

Теперь, когда вы обновили свой ключ, вы можете отправить его:

gpg --keyserver pgp.mit.edu --send-keys (key id)

И, да, срок годности ваших ключей - очень хорошая идея. Вы никогда не должны иметь ключ без даты истечения срока действия. Если он скомпрометирован, он может быть использован навсегда.

Соус МакБосс
источник
2
Если это скомпрометировано и злоумышленник возобновит истечение срока действия, как?
fikr4n
@BornToCode, я могу предположить, что в этом случае реальный владелец ключа должен отозвать ключ ... игра окончена для хакера ...
Дрю
Похоже, что после --send-keys вам нужно добавить идентификатор ключа
Krenair
24

Согласно OpenPGP Best Practices на Riseup.net , да, это возможно, и, похоже, никаких рекомендаций против этого нет:

Люди думают , что они не хотят , чтобы их ключи истекает, но вы на самом деле делать . Зачем? Потому что вы всегда можете продлить срок действия, даже если он истек! Это «истечение» на самом деле является скорее предохранительным клапаном или «выключателем мертвого человека», который автоматически срабатывает в какой-то момент. Если у вас есть доступ к материалу секретного ключа, вы можете удалить его. Смысл в том, чтобы настроить что-то, чтобы отключить ваш ключ в случае, если вы потеряли к нему доступ (и не имеете сертификата отзыва).

IQAndreas
источник