GPG Key verlängern und neue sub-uid anlegen

By neffets, 10 Januar, 2022

Jedes Jahr neu: * Soll der gpg-Schlüssel weitergeführt werden, ist er noch sicher genug? * Wenn ja, eine sub-uid für das Jahr anlegen

Prinzipielle Überlegung zur Sicherheit. Wenn der Schlüssel nicht kompromittiert ist, spricht Nichts dagegen den Schlüssel auch weiterhin zu benutzen, zumal man das gewachsene Vertrauen durch Fremd-Signierungen nicht verlieren will.

Struktur des GPG-Schlüssels:

  • Der GPG-Schlüssel kann verschiedene Unterschlüssel zum Unterschreiben (sign) und zum Verschlüsseln (encrypt) haben. - Diese Schlüssel müssen im Laufe des Lebens auch aktualisiert werden, um die Bit-Länge oder das Crypt-Verfahren zu erneuern.
  • Der GPG-Schlüssel kann mehrere Nutzer-Identifikationen enthalten (Namen+Bemerkung+E-Mail), so kann man mehrere unterschiedliche firmliche E-Mails parallel hinterlegen.
  • Der GPG-Schlüssel ist Teil eine Web-of-Trust und enthält dazu Unterschriften anderer Leute (signatures (x696)), siehe Aufbau Ihres Web of Trust.

h3. 1) Neue Nutzer-Identifikation hinzufügen ("add new identity")

gpg2 --edit-key 0x1111AAAA1111AAAA
gpg> adduid

Ihr Name: Steffen Schüssler Email-Adresse: email@example.com Kommentar: BerlinOnline-2022

(nun neu angelegte uid wählen und das Vertrauen und den Standard auswählen)
gpg> uid 8
gpg> trust
(auf uneingeschränkt = 5 setzen; die Anzeige aktualisiert sich dazu erst nach "save" und erneutem editieren)
gpg> primary
gpg> save

h3. 2) GPG-Schlüssel verlängern

Zur Sicherheit sollte der Schlüssel immer ein Verfallsdatum haben. Prinzipiell kann man zwar seinen Schlüssel auch mit dem Revoke-Key widerrufen, aber zur Not sollte es automatisch auslaufen.

Eine Verlängerung ist unproblematisch vor Ablauf des Schlüssels möglich.

Beispiel Verlängerung um 1 Jahr

gpg2 --edit-key 0x1111AAAA1111AAAA
gpg> expire

Wie lange gültig: 380

(380 = 380 Tage, oder in NNw für Wochen oder NNy für Jahre angeben)
(nun den passenden Key auswählen neben dem "sec" ist das meistens der erste Key "ssb")
gpg> key 1
gpg> expire

Wie lange gültig: 380

gpg> save

Bereich