Você pode estender a data de validade de uma chave GPG já expirada?

41

Digamos que eu adicione uma data de validade a uma chave GPG / PGP e, por algum motivo, não consigo estender a data de validade da chave antes que o tempo acabe.

Supondo que ainda tenho acesso à chave privada (e a chave pública expirou, não foi revogada), ainda posso renová-la?

pgp public-key-encryption IQAndreas
fonte
Nota: Isso seria rápido e fácil de testar, basta criar uma nova chave que expire em cinco minutos. No entanto, estou procurando respostas como "Sim, você pode renová-lo no GPG, mas alguns clientes PGP geram erros". ou "Não, se as chaves não tiverem uma versão atualizada quando expirarem, o GPG deixará de verificar se uma versão mais recente está disponível no servidor de chaves". ou "É uma prática ruim, crie um novo par de chaves".
IQAndreas
Sim; Não vejo razão para que isso não seja possível. Os certificados SSL expiram o tempo todo e são renovados após a expiração, além disso, apenas porque o certificado expirou não significa que o certificado não possa mais ser usado.
Ramhound
1
É importante afirmar que a definição de uma data de validade para sua chave não oferece proteção contra comprometimento. Um invasor malicioso pode, se ele se apossar da sua chave privada, ainda prolongar a validade da chave. Portanto, ter um certificado de revogação ainda é altamente recomendado.
David

Respostas:

49

Sim, você pode renová-lo a qualquer momento. Veja como fazê-lo:

gpg --list-keys
gpg --edit-key (key id)

Agora você está no console gpg. (Por padrão, você está trabalhando na chave primária.) Se precisar atualizar uma subchave:

gpg> key 1

Agora você pode definir a expiração da chave selecionada:

gpg> expire
(follow prompts)
gpg> save

Agora que você atualizou sua chave, pode enviá-la:

gpg --keyserver pgp.mit.edu --send-keys (key id)

E, sim, ter uma data de validade para suas chaves é uma ótima idéia. Você nunca deve realmente ter uma chave sem data de validade. Se estiver comprometido, poderá ser usado para sempre.

Molho McBoss
fonte
2
Se estiver comprometido e o invasor renovar a expiração, como?
Fikr4n
@BornToCode, posso adivinhar que neste caso, o dono da chave real tem de revogar a chave ... game over para um hacker ...
de Drew
Parece que após as teclas --send você precisa adicionar o ID da chave
Krenair 29/08/18
24

Acordo práticas recomendadas do OpenPGP no Riseup.net , sim, é possível e não parece haver nenhuma recomendação contra:

As pessoas pensam que não querem que suas chaves expirem, mas você realmente faz . Por quê? Porque você sempre pode estender sua data de validade, mesmo depois que ela expirar!Essa "expiração" é na verdade mais uma válvula de segurança ou "interruptor do homem morto" que será acionada automaticamente em algum momento. Se você tiver acesso ao material da chave secreta, poderá acioná-lo. O objetivo é configurar algo para desativar sua chave, caso você perca o acesso a ela (e não tenha certificado de revogação).

IQAndreas
fonte