debianforum.de

die deutschsprachige Supportwebseite rund um das Debian-Projekt
https://debianforum.de/forum/

signierter PGP subkey läuft ab

https://debianforum.de/forum/viewtopic.php?t=165100

Seite 1 von 1

signierter PGP subkey läuft ab

Verfasst: 04.05.2017 06:15:29
von MuppetShow12
Hallo alle, da die Themen zu PGP-expiry alle schon viele Jahre alt sind....
Ich habe einen PGP-Key und der Subkey, den ich zum Signieren verwende läuft in ca 2 Wochen ab. Mein Schlüssel ist von Bekannten signiert und die Signaturen möchte ich ungern verlieren.
Was mache ich am Besten? Ich habe gehört, dass man nicht das expiry-date verlängern sollte, weil das die Sicherheit einschränkt. Stattdessen sollte man einen neuen subkey erstellen und die Signaturen irgendwie übertragen... stimmt das?

meine Fragen:
1. wie soll ich vorgehen, dass ich einen Schlüssel habe, der weiterhin verwendet werden kann?
2. Welcher Schlüssel wurde überhaupt von meinen Bekannten signiert, der Main-Key oder der Subkey?
3. Läuft der Main-Key auch irgendwann ab?
4. Wie kann ich im Terminal die signaturen von pgp-keys anzeigen?
5. Warum macht Expiry-date verlängern den Schlüssel unsicher?

Danke

Re: signierter PGP subkey läuft ab

Verfasst: 04.05.2017 10:12:07
von breakthewall
Das Ablaufdatum ist generell nur eine Vorsichtsmaßnahme, damit Schlüssel auch regelmäßig validiert werden. Ist das nicht der Fall wird der Schlüssel automatisch ungültig, und liegt keinerlei Kompromittierung vor, dann spricht so gesehen nichts dagegen das Ablaufdatum zu verlängern. Das ist auch nicht unsicher solange eingesetzte Schlüssel weder schwach sind noch kompromittiert wurden. Ob der Hauptschlüssel abläuft, kannst nur Du selbst beantworten, bzw. dein GPG-Schlüsselbund. Wie die Signaturen anzeigst und weiteres, siehst recht einfach indem gpg --help aufrufst. Wenn besondere Sicherheitsansprüche bestehen, dann wäre es durchaus sinnvoll die Schlüssel vorsichtshalber regelmäßig zu wechseln.

Re: signierter PGP subkey läuft ab

Verfasst: 04.05.2017 13:09:05
von Meillo
Auf http://planet.debian.org liest man immer wieder mal von Key Transitions, bei denen diejenigen, die den alten Key signiert haben, gebeten werden, auch den neuen zu signieren. Siehe, z.B.:

https://people.debian.org/~dz/key-trans ... 048885.txt
https://people.debian.org/~mckinstry/ke ... on.txt.asc
https://blog.josefsson.org/2014/06/23/o ... statement/
https://vincent.bernat.im/en/blog/2012- ... on-new-key


Ich weiss allerdings nicht, ob es irgendwo eine Debian Best Practice fuer den Fall gibt. Vielleicht kann man das als so etwas ansehen (hab's selber nur ueberflogen): https://debian-administration.org/users/dkg/weblog/48

Irgendwo gab's auch mal einen Blogpost mit empfohlenen gnupg.conf-Einstellungen innerhalb der Debian-Community.
Alle Zeiten sind UTC+01:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/