GPG Keyの更新ってどうやってやるんだっけな よくないなこういう覚えてられない頻度でやってくるイベント
@ars42525 gpg --quick-set-expireとかで公開鍵と副鍵に署名して公開し直せばよさそうです
https://mitome.in/email/keyManagement.html
@zundan 更新を忘れて切れてしまった鍵で署名することはできないのでは…?という重大な問題に気づいてしまったかもしれない…
@ars42525 私有鍵には有効期限はなさそうな気がします…
@zundan もしかして:GPGエアプ
勉強します…
@ars42525 僕も手が空いたら試してみます〜
@ars42525 できたっぽいです!
10秒後に切れる鍵対をつくって、
$ cat pars.txt
Key-Type: EDDSA
Key-Curve: ed25519
Subkey-Type: ECDH
Subkey-Curve: cv25519
Name-Email: expiring@example.com
Expire-Date: seconds=10
Passphrase: passphrase
$ gpg --batch --full-generate-key pars.txt
$ gpg -K
---------
sec ed25519 2024-11-04 [SCA] [expired: 2024-11-04]
1BB275307C9E287C7162553C429133CFC62F6408
uid [ expired] expiring@example.com
有効期限を3年後くらいに延長する:
$ gpg --quick-set-expire 1BB275307C9E287C7162553C429133CFC62F6408 2027-11-01
$ gpg --quick-set-expire 1BB275307C9E287C7162553C429133CFC62F6408 2027-11-01 \*
$ gpg -K
---------
sec ed25519 2024-11-04 [SCA] [expires: 2027-11-01]
1BB275307C9E287C7162553C429133CFC62F6408
uid [ultimate] expiring@example.com
@zundan それって有効期間の意味はあるんですかね…?
@ars42525 公開鍵に有効期限を設定しておくと、私有鍵を漏らしたり失効証明書を失くしたりしても、その期限以降には鍵対を第三者に悪用されなくなるという利点がありそうです。公開鍵の有効期限を延長するということは、その時点では私有鍵を漏らしていないのでこれまでどおり公開鍵を信用できるということを表明する意味がありそうです。
@zundan でも私有鍵が漏れていたら第三者がその私有鍵で更新を掛けられませんか?
@ars42525 たしかに!! 私有鍵が漏れた場合は失効証明書を使う必要がありますね。有効期限の延長は私有鍵を失くしていないことの表明にしかならないですね。
@zundan ある有効期限の更新というアクションに対して、もとの所有者が私有鍵を失くしていないかどうかを第三者が判断できないので、その表明も多分信頼関係になんの影響も及ぼさないただの "お気持ち表明" ですよね
有効期限、なんのためにあるのでしょうか…
@ars42525 元の所有者が私有鍵を漏らしたことに気づいた場合は失効証明書が公開されると信じるしかないんじゃないかと思います。それでも、有効期限が切れている場合に元の所有者が亡くなったり鍵対の管理をやめたのだろうと想像することはできそうです。
@zundan ざっと見る感じ、有効期限にセキュリティ上の意味はなさそうですね…