最良の方法は何ですかGPGキーペアが期限切れになったら更新してください。このアプローチを使用する理由は何ですか?
このキーペアは多くのユーザーが署名しており、パブリックサーバーで使用できます。
新しいキーは、期限切れの秘密キーのサブキーでなければなりませんか?
以前の署名が必要ですか(キーを編集して有効期限を明日に変更できます)。
新しいキーは古いキーに署名する必要がありますか?
ベストアンサー1
秘密鍵は期限切れになりません。公開鍵のみ可能です。そうでなければ、(希望的に)世界は秘密鍵を見ることができないので、世界は決して期限切れに気付かないでしょう。
重要な部分については1つの方法しかないので、長所と短所を議論する必要はありません。
マスターキーの有効期間を延長する必要があります。
gpg --edit-key 0x12345678
gpg> expire
...
gpg> save
お子様の有効期間を延長するか、それとも置き換えるかを決定する必要があります。これを交換すると、限られた前方セキュリティが提供されます(かなり長い期間のみ)。これが重要な場合は、暗号化と署名のための(別々の)サブキーが必要です(デフォルトは暗号化専用です)。
gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save
key 1一度に1つのキーの有効期間しか延長できないため、2回選択して選択解除する必要があります。
鍵が損傷していると信じる理由がない限り、有効期間を延長することを決定することもできます。オフラインマスターキーがある場合、違反時に証明書全体を破棄しないことが合理的です(私の考えでは、これがOpenPGPを使用する唯一の合理的な方法です)。
それにもかかわらず、証明書ユーザーは更新されたバージョン(新しいキー署名または新しいキー)を取得する必要があります。交換すると、キーが少し大きくなりますが問題になりません。
スマートカードを使用するか、そうする予定の場合は、より多くの(暗号化)キーがあると少し不便になる可能性があります(新しいキーを持つカードは古いデータを復号化できません)。