가장 좋은 방법은 무엇입니까GPG 키 쌍이 만료되면 업데이트하세요.이 접근법을 사용하는 이유는 무엇입니까?
이 키 쌍은 많은 사용자가 서명했으며 공개 서버에서 사용할 수 있습니다.
새 키는 만료된 개인 키의 하위 키여야 합니까?
이전 서명이 있어야 합니까(키를 편집하고 만료 날짜를 내일로 변경해 볼 수 있음)?
새 키가 이전 키에 서명해야 합니까?
답변1
개인 키는 만료되지 않습니다. 공개 키만 가능합니다. 그렇지 않으면 (희망적으로) 세상이 개인 키를 볼 수 없기 때문에 세상은 만료를 결코 알아차리지 못할 것입니다.
중요한 부분에 대해서는 방법이 하나뿐이므로 장단점을 논할 필요가 없습니다.
마스터 키의 유효 기간을 연장해야 합니다.
gpg --edit-key 0x12345678
gpg> expire
...
gpg> save
자녀의 유효 기간을 연장할지, 아니면 대체할지 결정해야 합니다. 이를 교체하면 제한된 전방 보안이 제공됩니다(상당히 오랜 기간 동안만). 이것이 중요하다면 암호화 및 서명을 위한 (별도의) 하위 키가 있어야 합니다(기본값은 암호화 전용임).
gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save
key 1한 번에 하나의 키 유효 기간만 연장할 수 있으므로 두 번 선택하고 선택 취소 해야 합니다 .
키가 손상되었다고 믿을 만한 이유가 없는 한 유효 기간을 연장하기로 결정할 수도 있습니다. 오프라인 마스터 키가 있는 경우 위반 시 전체 인증서를 버리지 않는 것이 합리적입니다(제 생각에는 이것이 OpenPGP를 사용하는 유일한 합리적인 방법입니다).
그럼에도 불구하고 인증서 사용자는 업데이트된 버전(새 키 서명 또는 새 키)을 얻어야 합니다. 교체하면 키가 조금 커지지만 문제가 되지 않습니다.
스마트 카드를 사용하거나 그렇게 할 계획인 경우 더 많은 (암호화) 키가 있으면 약간 불편할 수 있습니다(새 키가 있는 카드는 이전 데이터를 해독할 수 없음).
답변2
"Hauke Lining의" 답변에 추가하여 gpg는 옵션을 제공합니다.2.1.22* 앞으로는 단일 비대화형 명령을 사용하여 기본 키 또는 취소되지 않은 만료되지 않은 하위 키를 확장할 수 있습니다.
여기에는 3가지 형식이 있습니다(첫 번째 매개변수는 항상 키 지문이고, 두 번째 매개변수는 항상 유효 기간(예: 8w8주)입니다).
- 2개 매개변수: 기간별로 키 확장
- 3개의 매개변수(3번째는 별표(
*)): 마스터 키의 취소되지 않은 만료되지 않은 하위 키를 모두 만료합니다. - 3개 이상의 매개변수(3번째 이상이 특정 하위 키 지문인 경우): 마스터 키의 지정된 하위 키가 만료됩니다.
- 양식 예시 *:
gpg --quick-set-expire <1> <2> <3>
중요성:
<1> 키의 지문( gpg --list-secret-keys)
<2> 만료 기간을 연장하려는 기간
<3> *각 하위 키에 대해 예를 들면 다음과 같습니다.
gpg --quick-set-expire 7BCDED693SECRETKEY1552ACB71237 7w \*
* --quick-set-expire기본 키 버전에만 사용 가능2.1.17.
답변3
이전 키 쌍을 새 키 쌍으로 교체하는 것과 만료 날짜를 변경하는 것, 두 가지를 혼동하고 있는 것 같습니다.
기본적으로 새 키 쌍을 생성할 필요가 없습니다. 이전 키 쌍이 아직 남아 있는 경우 만료 날짜를 변경하고 업데이트된 키를 발급하여 수명 주기를 "연장"할 수 있습니다. 이는 완전히 정상적이고 예상되는 현상입니다.
만료 날짜는 키를 분실한 경우(예: 비밀번호를 잊어버린 경우 - 키가 손상되는 것에 대해 말하는 것이 아니며 이 경우 즉시 키를 취소해야 함) 키가 다른 곳에 머물지 않도록 처리됩니다. 영원히 열려있습니다.