¿Puede extender la fecha de vencimiento de una clave GPG ya vencida?

41

Digamos que agrego una fecha de vencimiento a una clave GPG / PGP, luego, por alguna razón, no puedo extender la fecha de vencimiento de la clave antes de que se acabe el tiempo.

Suponiendo que todavía tengo acceso a la clave privada (y la clave pública solo ha expirado, no se ha revocado), ¿puedo renovarla?

pgp public-key-encryption IQAndreas
fuente
Nota: Esto sería rápido y fácil de probar simplemente creando una nueva clave que caduque en cinco minutos. Sin embargo, estoy buscando respuestas como "Sí, puede renovarlo en GPG, pero algunos clientes PGP arrojarán errores". o "No, si las claves no tienen una versión actualizada cuando caducan, GPG dejará de verificar si hay una versión más nueva disponible en el servidor de claves". o "Es una mala práctica, cree un nuevo par de claves".
IQAndreas
Sí; No veo ninguna razón por la que no sea posible. Los certificados SSL expiran todo el tiempo y se renuevan una vez que han expirado, además, solo porque el certificado expiró no significa que ya no se pueda usar.
Ramhound
1
Es importante afirmar que establecer una fecha de vencimiento para su clave no es una protección contra el compromiso. Un atacante malintencionado podría, si consigue su clave privada, prolongar la validez de la clave. Por lo tanto, tener un certificado de revocación sigue siendo muy recomendable.
David

Respuestas:

49

Sí, puedes renovarlo en cualquier momento. Aquí se explica cómo hacerlo:

gpg --list-keys
gpg --edit-key (key id)

Ahora estás en la consola gpg. (De manera predeterminada, está trabajando en la clave principal). Si necesita actualizar una subclave:

gpg> key 1

Ahora puede establecer la caducidad de la clave seleccionada:

gpg> expire
(follow prompts)
gpg> save

Ahora que ha actualizado su clave, puede enviarla:

gpg --keyserver pgp.mit.edu --send-keys (key id)

Y sí, tener una fecha de vencimiento para sus llaves es una muy buena idea. Nunca debería tener una clave sin fecha de vencimiento. Si está comprometido, podría usarse para siempre.

Salsa McBoss
fuente
2
Si está comprometido y el atacante renueva la caducidad, ¿cómo?
fikr4n
@BornToCode, puedo adivinar que en este caso el verdadero dueño de la llave tiene que revocar la llave ... se acabó el juego para un hacker ...
Drew
Parece que después de --send-keys necesita agregar la clave ID
Krenair
24

De acuerdo con las Mejores Prácticas de OpenPGP en Riseup.net , sí, es posible, y no parece haber ninguna recomendación en su contra:

Las personas piensan que no quieren que sus claves caduquen, pero en realidad . ¿Por qué? ¡Porque siempre puede extender su fecha de vencimiento, incluso después de que haya expirado! Esta "caducidad" es en realidad más una válvula de seguridad o un "interruptor de hombre muerto" que se activará automáticamente en algún momento. Si tiene acceso al material de la clave secreta, puede desencadenarlo. El punto es configurar algo para deshabilitar su clave en caso de que pierda el acceso (y no tenga un certificado de revocación).

IQAndreas
fuente