GnuPG key management - Revoga, apaga ou expira? [fechadas]

3

Qual é a melhor prática para eliminar chaves que você não quer?

Então eu descobri que tenho um conjunto extra de chaves. O que eu quero saber é se devo expirar as que não quero ou revogá-las ou outra coisa? Eu os usei para assinar e-mails, mas acho que nunca criptografei nada com eles. Eu já defini uma data de expiração de amanhã, mas devo me preocupar em mantê-las ou apenas revogar e excluir? Eu já copiei com segurança as chaves corretas de outra máquina. As chaves expiradas foram carregadas para o servidor de chaves, mas IDK, se isso significa que as antigas foram substituídas ou se agora existem dois conjuntos de chaves no servidor de chaves, um com um conjunto de expiração e outro sem?

    
por user447607 09.03.2015 / 16:20

1 resposta

3

Se as chaves estiverem armazenadas em servidores de chaves, a exclusão não é uma opção. Não é possível excluir nada da rede do servidor principal.

Então, você deve considerar entre a expiração e a revogação. A Expiração tem o significado de limitar a validade a uma determinada data, enquanto a revogação é uma declaração "Não usarei mais essa chave", com a possibilidade de fornecer uma razão (suplantada, comprometida, ...). Eu diria que a revogação de uma chave com a mensagem "substituída" é uma afirmação mais clara do que definir uma data de expiração.

Para a expiração das chaves primárias não é uma opção : um invasor que consiga a chave privada (por exemplo, porque é mais fácil quebrá-la no futuro) pode simplesmente alterar a data de vencimento e use a chave novamente. Isso não é possível se você compartilhou um certificado de revogação. Veja também A expiração da chave GPG é adicionada à segurança ? , mas saiba que uma das respostas dadas é simplesmente errada.

    
por Jens Erat 09.03.2015 / 17:55

Tags