gpg를 사용하여 만료 된 키 쌍을 갱신하는 방법


82

gpg 키 페어가 만료되었을 때 갱신하는 가장 좋은 방법은 무엇이며 방법 의 이유는 무엇입니까?

키 쌍은 이미 많은 사용자가 서명했으며 공용 서버에서 사용할 수 있습니다.

  • 새 키가 만료 된 개인 키의 하위 키 여야합니까?

  • 이전에 서명해야합니까 (키를 편집하고 만료 날짜를 내일로 변경하려고 할 수 있습니까)?

  • 새 키가 이전 키에 서명해야합니까?

답변:


95

개인 키는 절대 만료되지 않습니다. 공개 키만 가능합니다. 그렇지 않으면, 세계는 (희망적으로) 세계가 개인 키를 보지 않기 때문에 만료를 결코 알지 못할 것입니다.

중요한 부분에는 한 가지 방법 만 있으므로 장단점에 대한 토론을 줄일 수 있습니다.

기본 키의 유효성을 연장해야합니다.

gpg --edit-key 0x12345678
gpg> expire
...
gpg> save

하위 키의 유효성을 바꾸거나 대치 할 수 있는지에 대한 결정을 내려야합니다. 그것들을 교체하면 앞으로의 보안이 제한됩니다 (대규모의 시간 범위로 제한됨). 이것이 중요한 경우 암호화 및 서명에 대해 (별도의) 하위 키가 있어야합니다 (기본값은 암호화 전용입니다).

gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save

key 1번에 하나의 키만 유효 기간을 연장 할 수 있으므로 선택 및 선택 해제에 두 번 필요합니다 .

키가 손상되었다고 가정 할만한 이유가 없으면 유효성을 연장 할 수도 있습니다. 손상이 발생한 경우 전체 인증서를 버리지 않는 것은 오프라인 기본 키가있는 경우에만 의미가 있습니다 (IMHO는 OpenPGP를 사용하는 유일한 합리적인 방법입니다).

인증서 사용자는 어쨌든 업데이트 된 버전을 가져와야합니다 (새 키 서명 또는 새 키). 교체하면 키가 약간 커지지 만 문제는 아닙니다.

스마트 카드를 사용하는 경우 (또는 그렇게하려는 경우) 더 많은 (암호화) 키를 사용하면 특정 불편 함이 발생합니다 (새 키가있는 카드는 오래된 데이터를 해독 할 수 없음).


나는 이것을 명중했다 : gpg> expire Need the secret key to do this. 이 문제를 해결하는 방법이 있습니까?
Felix

7
@Felix 개인 키가 필요하지 않습니다. 이것이 PK 암호화의 기반입니다.
Hauke ​​Laging

8
키가 "만료"로 갱신되는 아이러니
David Costa

2
나는 expire명령이 실제로 키에 만료 시간을 설정하는 과정을 안내 한다고 믿기 때문에 만료 시간을 미래에 더 설정하여 키를 "갱신"할 수 있습니까?
Viktor Haag
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.