Cómo renovar un par de claves caducado con gpg

Leave a Comment / gpg / By

Pregunta:

¿Cuál es la mejor manera de renovar un par de claves gpg cuando expira y cuál es el motivo del método?

El par de claves ya está firmado por muchos usuarios y está disponible en servidores públicos.

  • ¿La nueva clave debería ser una subclave de la clave privada caducada?

  • ¿Debería estar firmado por el antiguo (podría intentar editar la clave y cambiar la fecha de vencimiento a mañana)?

  • ¿Debería la nueva llave firmar la vieja?

Respuesta:

Las claves privadas nunca caducan. Solo las claves públicas lo hacen. De lo contrario, el mundo nunca notaría la caducidad ya que (con suerte) el mundo nunca ve las claves privadas.

En lo más importante, solo hay una forma, por lo que se ahorra una discusión sobre los pros y los contras.

Tienes que extender la validez de la clave principal:

gpg --edit-key 0x12345678
gpg> expire
...
gpg> save

Debe tomar una decisión sobre la extensión de la validez frente a la sustitución de la (s) subclave (s). Reemplazarlos le brinda una seguridad avanzada limitada (limitada a períodos de tiempo bastante largos). Si eso es importante para usted, entonces debe tener subclaves (separadas) tanto para el cifrado como para la firma (el valor predeterminado es solo para el cifrado).

gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save

Necesita la key 1 dos veces para seleccionar y anular la selección porque puede extender la validez de solo una tecla a la vez.

También puede decidir extender la validez a menos que tenga alguna razón para asumir que la clave se ha visto comprometida. No desechar todo el certificado en caso de compromiso tiene sentido solo si tiene una clave principal fuera de línea (que en mi humilde opinión es la única forma razonable de usar OpenPGP de todos modos).

Los usuarios de su certificado deben obtener su versión actualizada de todos modos (ya sea para las nuevas firmas de claves o para las nuevas claves). Reemplazar hace que la llave sea un poco más grande, pero eso no es un problema.

Si usa tarjetas inteligentes (o planea hacerlo), tener más claves (de cifrado) crea un cierto inconveniente (una tarjeta con la nueva clave no puede descifrar los datos antiguos).

Leave a Comment

Your email address will not be published. Required fields are marked *

web tasarım