Klucze prywatne nigdy nie wygasają. Działają tylko klucze publiczne. W przeciwnym razie świat nigdy nie zauważyłby wygaśnięcia, ponieważ (mam nadzieję) świat nigdy nie zobaczy kluczy prywatnych.
Co ważne, istnieje tylko jeden sposób, dzięki czemu oszczędza się dyskusja na temat zalet i wad.
Musisz przedłużyć ważność klucza głównego:
gpg --edit-key 0x12345678
gpg> expire
...
gpg> save
Musisz podjąć decyzję o przedłużeniu ważności kontra zastąpieniu podklucza (-ów). Zastąpienie ich zapewnia ograniczone bezpieczeństwo przesyłania do przodu (ograniczone do raczej dużych ram czasowych). Jeśli jest to dla Ciebie ważne, powinieneś mieć (oddzielne) podklucze zarówno do szyfrowania, jak i podpisywania (domyślnie jest to jeden tylko do szyfrowania).
gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save
Potrzebujesz key 1
dwa razy do zaznaczania i odznaczania, ponieważ możesz przedłużyć ważność tylko jednego klucza na raz.
Możesz także zdecydować o przedłużeniu ważności, chyba że masz powód, by przypuszczać, że klucz został naruszony. Nie wyrzucanie całego certyfikatu w przypadku kompromisu ma sens tylko wtedy, gdy masz główny klucz offline (który IMHO jest jedynym rozsądnym sposobem korzystania z OpenPGP).
Użytkownicy Twojego certyfikatu i tak muszą uzyskać jego zaktualizowaną wersję (dla nowych podpisów kluczy lub dla nowych kluczy). Wymiana powoduje, że klucz jest nieco większy, ale to nie jest problem.
Jeśli używasz kart inteligentnych (lub planujesz to zrobić), posiadanie większej liczby kluczy (szyfrowania) stwarza pewną niedogodność (karta z nowym kluczem nie może odszyfrować starych danych).
gpg> expire Need the secret key to do this.
jakieś pomysły, jak to obejść?