[solved] gpg mit subkeys auf Yubikey: expiry date verlängern
Verfasst: 10.03.2020 18:55:42
Ich habe da eine Verständnisfrage:
Habe mir vor längerer Zeit einen gpg-master-key ohne Verfalldatum erzeugt, den ich offline verwahre.
Für den täglichen Gebrauch habe ich damit 3 Subkeys für Signieren, Ver/Entschlüsseln und Authentifizieren erstellt. Diese Subkeys nutze ich auf meinem PC (Passwort-gesichert) direkt. Auf dem Laptop habe ich die gleichen Subkeys zunächst kopiert, dann aber mit "keytocard" auf einen Yubikey übertragen. Da verbleibt von den Private-Subkeys nur noch ein Stub auf dem Laptop.
So, jetzt erreichen diese Subkeys in ½ Jahr ihr Verfalldatum und ich möchte das verlängern.
Habe dazu viel im Web recherchiert und es gibt offenbar 2 Möglichkeiten:
Da es für alles nur einen einzigen Public-Key gibt, brauch' ich nur den an den entsprechenden Stellen auszutauschen und der Yubikey bleibt unberührt und funktioniert weiter.
Seahorse ist da irgendwie irreführend, denn im UI ändert man augenscheinlich des Expiry-date der Secret-Subkeys - oder sehe ich das falsch?
Wie steht es dann mit Verschlüsselung?
kann ich mit dem "alten" Public Subkey nach wie vor verschüsseln solange der noch gültig ist, aber bei Bedarf auch den "neuen" Public Subkey verwenden (und natürlich wieder entschlüsseln)?
Ich nutze den Public Subkey auch zur Identifizierung beim SSH-Login - gilt dort das gleiche (alter und neuer Key gültig)?
Viele Grüße,
Ingo
EDIT:
Bleibt die Key-ID bei der beschriebenen Aktion gleich?
Habe mir vor längerer Zeit einen gpg-master-key ohne Verfalldatum erzeugt, den ich offline verwahre.
Für den täglichen Gebrauch habe ich damit 3 Subkeys für Signieren, Ver/Entschlüsseln und Authentifizieren erstellt. Diese Subkeys nutze ich auf meinem PC (Passwort-gesichert) direkt. Auf dem Laptop habe ich die gleichen Subkeys zunächst kopiert, dann aber mit "keytocard" auf einen Yubikey übertragen. Da verbleibt von den Private-Subkeys nur noch ein Stub auf dem Laptop.
So, jetzt erreichen diese Subkeys in ½ Jahr ihr Verfalldatum und ich möchte das verlängern.
Habe dazu viel im Web recherchiert und es gibt offenbar 2 Möglichkeiten:
- Ich generiere 3 kompett neu Subkeys mit allem drum und dran und befülle den Yubukey neu. Das ist ungeheuer mühsam mit gpg und keytocard
- Ich verlängere einfach das Verfalldatum der 3 Subkeys z.B. mit seahorse
Da es für alles nur einen einzigen Public-Key gibt, brauch' ich nur den an den entsprechenden Stellen auszutauschen und der Yubikey bleibt unberührt und funktioniert weiter.
Seahorse ist da irgendwie irreführend, denn im UI ändert man augenscheinlich des Expiry-date der Secret-Subkeys - oder sehe ich das falsch?
Wie steht es dann mit Verschlüsselung?
kann ich mit dem "alten" Public Subkey nach wie vor verschüsseln solange der noch gültig ist, aber bei Bedarf auch den "neuen" Public Subkey verwenden (und natürlich wieder entschlüsseln)?
Ich nutze den Public Subkey auch zur Identifizierung beim SSH-Login - gilt dort das gleiche (alter und neuer Key gültig)?
Viele Grüße,
Ingo
EDIT:
Bleibt die Key-ID bei der beschriebenen Aktion gleich?