Hallo alle, da die Themen zu PGP-expiry alle schon viele Jahre alt sind....
Ich habe einen PGP-Key und der Subkey, den ich zum Signieren verwende läuft in ca 2 Wochen ab. Mein Schlüssel ist von Bekannten signiert und die Signaturen möchte ich ungern verlieren.
Was mache ich am Besten? Ich habe gehört, dass man nicht das expiry-date verlängern sollte, weil das die Sicherheit einschränkt. Stattdessen sollte man einen neuen subkey erstellen und die Signaturen irgendwie übertragen... stimmt das?
meine Fragen:
1. wie soll ich vorgehen, dass ich einen Schlüssel habe, der weiterhin verwendet werden kann?
2. Welcher Schlüssel wurde überhaupt von meinen Bekannten signiert, der Main-Key oder der Subkey?
3. Läuft der Main-Key auch irgendwann ab?
4. Wie kann ich im Terminal die signaturen von pgp-keys anzeigen?
5. Warum macht Expiry-date verlängern den Schlüssel unsicher?
Danke
signierter PGP subkey läuft ab
-
MuppetShow12
- Beiträge: 85
- Registriert: 03.08.2016 07:20:41
signierter PGP subkey läuft ab
Desktop PC, Thinkcenter i5, dezidierte Nvidia Graka, debian bullseye mit Mate Desktop
Laptop Lenovo Thinkpad T470s, i5, debian bookworm mit Gnome Desktop
Homeserver / Mediaserver auf Basis von QNAP TS-251+, debian bookworm mit Gnome Oberfläche
Laptop Lenovo Thinkpad T470s, i5, debian bookworm mit Gnome Desktop
Homeserver / Mediaserver auf Basis von QNAP TS-251+, debian bookworm mit Gnome Oberfläche
-
breakthewall
- Beiträge: 507
- Registriert: 30.12.2016 23:48:51
Re: signierter PGP subkey läuft ab
Das Ablaufdatum ist generell nur eine Vorsichtsmaßnahme, damit Schlüssel auch regelmäßig validiert werden. Ist das nicht der Fall wird der Schlüssel automatisch ungültig, und liegt keinerlei Kompromittierung vor, dann spricht so gesehen nichts dagegen das Ablaufdatum zu verlängern. Das ist auch nicht unsicher solange eingesetzte Schlüssel weder schwach sind noch kompromittiert wurden. Ob der Hauptschlüssel abläuft, kannst nur Du selbst beantworten, bzw. dein GPG-Schlüsselbund. Wie die Signaturen anzeigst und weiteres, siehst recht einfach indem gpg --help aufrufst. Wenn besondere Sicherheitsansprüche bestehen, dann wäre es durchaus sinnvoll die Schlüssel vorsichtshalber regelmäßig zu wechseln.
Re: signierter PGP subkey läuft ab
Auf http://planet.debian.org liest man immer wieder mal von Key Transitions, bei denen diejenigen, die den alten Key signiert haben, gebeten werden, auch den neuen zu signieren. Siehe, z.B.:
https://people.debian.org/~dz/key-trans ... 048885.txt
https://people.debian.org/~mckinstry/ke ... on.txt.asc
https://blog.josefsson.org/2014/06/23/o ... statement/
https://vincent.bernat.im/en/blog/2012- ... on-new-key
Ich weiss allerdings nicht, ob es irgendwo eine Debian Best Practice fuer den Fall gibt. Vielleicht kann man das als so etwas ansehen (hab's selber nur ueberflogen): https://debian-administration.org/users/dkg/weblog/48
Irgendwo gab's auch mal einen Blogpost mit empfohlenen gnupg.conf-Einstellungen innerhalb der Debian-Community.
https://people.debian.org/~dz/key-trans ... 048885.txt
https://people.debian.org/~mckinstry/ke ... on.txt.asc
https://blog.josefsson.org/2014/06/23/o ... statement/
https://vincent.bernat.im/en/blog/2012- ... on-new-key
Ich weiss allerdings nicht, ob es irgendwo eine Debian Best Practice fuer den Fall gibt. Vielleicht kann man das als so etwas ansehen (hab's selber nur ueberflogen): https://debian-administration.org/users/dkg/weblog/48
Irgendwo gab's auch mal einen Blogpost mit empfohlenen gnupg.conf-Einstellungen innerhalb der Debian-Community.
Use ed once in a while!