Jedes Jahr neu: * Soll der gpg-Schlüssel weitergeführt werden, ist er noch sicher genug? * Wenn ja, eine sub-uid für das Jahr anlegen
Prinzipielle Überlegung zur Sicherheit. Wenn der Schlüssel nicht kompromittiert ist, spricht Nichts dagegen den Schlüssel auch weiterhin zu benutzen, zumal man das gewachsene Vertrauen durch Fremd-Signierungen nicht verlieren will.
Struktur des GPG-Schlüssels:
- Der GPG-Schlüssel kann verschiedene Unterschlüssel zum Unterschreiben (sign) und zum Verschlüsseln (encrypt) haben. - Diese Schlüssel müssen im Laufe des Lebens auch aktualisiert werden, um die Bit-Länge oder das Crypt-Verfahren zu erneuern.
- Der GPG-Schlüssel kann mehrere Nutzer-Identifikationen enthalten (Namen+Bemerkung+E-Mail), so kann man mehrere unterschiedliche firmliche E-Mails parallel hinterlegen.
- Der GPG-Schlüssel ist Teil eine Web-of-Trust und enthält dazu Unterschriften anderer Leute (signatures (x696)), siehe Aufbau Ihres Web of Trust.
h3. 1) Neue Nutzer-Identifikation hinzufügen ("add new identity")
gpg2 --edit-key 0x1111AAAA1111AAAA
Ihr Name: Steffen Schüssler Email-Adresse: email@example.com Kommentar: BerlinOnline-2022
gpg> adduid(nun neu angelegte uid wählen und das Vertrauen und den Standard auswählen)
gpg> uid 8
gpg> trust
(auf uneingeschränkt = 5 setzen; die Anzeige aktualisiert sich dazu erst nach "save" und erneutem editieren)
gpg> primary
gpg> save
h3. 2) GPG-Schlüssel verlängern
Zur Sicherheit sollte der Schlüssel immer ein Verfallsdatum haben. Prinzipiell kann man zwar seinen Schlüssel auch mit dem Revoke-Key widerrufen, aber zur Not sollte es automatisch auslaufen.
Eine Verlängerung ist unproblematisch vor Ablauf des Schlüssels möglich.
Beispiel Verlängerung um 1 Jahr
gpg2 --edit-key 0x1111AAAA1111AAAA
Wie lange gültig: 380
gpg> expire(380 = 380 Tage, oder in NNw für Wochen oder NNy für Jahre angeben)
Wie lange gültig: 380
(nun den passenden Key auswählen neben dem "sec" ist das meistens der erste Key "ssb")
gpg> key 1
gpg> expiregpg> save