วิธีที่ดีที่สุดในการต่ออายุคู่คีย์ gpg เมื่อหมดอายุและเหตุผลสำหรับวิธีคืออะไร
คู่กุญแจได้ลงนามแล้วโดยผู้ใช้หลายคนและมีอยู่ในเซิร์ฟเวอร์สาธารณะ
คีย์ใหม่ควรเป็นคีย์ย่อยของคีย์ส่วนตัวที่หมดอายุหรือไม่
มันควรจะเป็นลายเซ็นต์เก่าหรือไม่ (ฉันสามารถลองแก้ไขรหัสและเปลี่ยนวันหมดอายุเป็นวันพรุ่งนี้ได้)
รหัสใหม่ควรเซ็นชื่อเก่าหรือไม่
คำตอบ:
คีย์ส่วนตัวไม่มีวันหมดอายุ เฉพาะกุญแจสาธารณะเท่านั้น มิฉะนั้นโลกจะไม่สังเกตเห็นการหมดอายุเช่น (หวังว่า) โลกจะไม่เห็นกุญแจส่วนตัว
สำหรับส่วนที่สำคัญนั้นมีเพียงวิธีเดียวเท่านั้นดังนั้นการบันทึกการสนทนาเกี่ยวกับข้อดีและข้อเสีย
คุณต้องขยายความถูกต้องของคีย์หลัก:
gpg --edit-key 0x12345678
gpg> expire
...
gpg> save
คุณต้องตัดสินใจเกี่ยวกับการขยายความถูกต้องของ vs. การแทนที่คีย์ย่อย การแทนที่พวกมันจะช่วยให้คุณมีความปลอดภัยในการส่งต่อที่ จำกัด หากสิ่งนั้นมีความสำคัญต่อคุณคุณควรมีคีย์ย่อย (แยก) สำหรับการเข้ารหัสและการเซ็นชื่อ (ค่าเริ่มต้นคือหนึ่งสำหรับการเข้ารหัสเท่านั้น)
gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save
คุณต้องการkey 1สองครั้งในการเลือกและยกเลิกการเลือกเนื่องจากคุณสามารถขยายความถูกต้องของคีย์เดียวในแต่ละครั้ง
คุณสามารถตัดสินใจที่จะขยายความถูกต้องได้นอกจากว่าคุณมีเหตุผลบางอย่างที่จะถือว่ากุญแจถูกบุกรุก ไม่ทิ้งใบรับรองทั้งหมดในกรณีที่มีการประนีประนอมทำให้รู้สึกเฉพาะในกรณีที่คุณมีคีย์หลักออฟไลน์ (ซึ่ง IMHO เป็นวิธีที่เหมาะสมในการใช้ OpenPGP เท่านั้น)
ผู้ใช้ใบรับรองของคุณจะต้องได้รับเวอร์ชันที่อัปเดตแล้ว (ทั้งสำหรับลายเซ็นของคีย์ใหม่หรือสำหรับคีย์ใหม่) การแทนที่ทำให้คีย์ใหญ่ขึ้นเล็กน้อย แต่นั่นไม่ใช่ปัญหา
หากคุณใช้สมาร์ทการ์ด (หรือวางแผนที่จะทำ) จากนั้นการใช้คีย์เพิ่มเติม (การเข้ารหัส) จะสร้างความไม่สะดวกบางอย่าง (การ์ดที่มีคีย์ใหม่ไม่สามารถถอดรหัสข้อมูลเก่า)
expireคำสั่งจริงจะนำคุณเข้าสู่การตั้งค่าเวลาหมดอายุบนคีย์ดังนั้นบางทีคุณอาจ "ต่ออายุ" คีย์โดยเพียงแค่ตั้งเวลาหมดอายุต่อไปในอนาคตหรือไม่
gpg> expire Need the secret key to do this.แนวคิดใดที่จะแก้ไขได้บ้าง