Как продлить срок действия гейпа с истекшим сроком годности

Каков наилучший способ обновить пару ключей gpg по истечении срока действия и в чем причина метода?

Пара ключей уже подписана многими пользователями и доступна на общедоступных серверах.

Закрытые ключи никогда не истекают. Только открытые ключи. В противном случае мир никогда не заметит истечения, поскольку (надеюсь) мир никогда не видит закрытых ключей.

Для важной части есть только один способ, чтобы сохранить дискуссию о плюсах и минусах.

Вы должны продлить срок действия основного ключа:

gpg --edit-key 0x12345678 gpg> expire ... gpg> save 

Вы должны принять решение о продлении срока действия или замене подраздела (ов). Замена их дает вам ограниченную безопасность в прямом направлении (ограничено довольно большими временными рамками). Если это важно для вас, вы должны иметь (отдельные) подразделы для шифрования и подписи (по умолчанию используется только для шифрования).

 gpg --edit-key 0x12345678 gpg> key 1 gpg> expire ... gpg> key 1 gpg> key 2 gpg> expire ... gpg> save 

Вам требуется key 1 дважды для выбора и отмены выбора, потому что вы можете продлить срок действия только одного ключа за раз.

Вы также можете решить продлить срок действия, если у вас нет причин предполагать, что ключ был скомпрометирован. Не отбрасывание всего сертификата в случае компрометации имеет смысл только в том случае, если у вас есть главный ключ в автономном режиме (в любом случае IMHO является единственным разумным способом использования OpenPGP).

Пользователи вашего сертификата должны получить свою обновленную версию в любом случае (либо для новых подписей ключей, либо для нового ключа (ов)). Замена делает ключ немного больше, но это не проблема.

Если вы используете смарт-карты (или планируете это делать), то наличие большего количества ключей (шифрования) создает определенные неудобства (карта с новым ключом не может дешифровать старые данные).