Дата истечения срока действия OpenPGP указывает только на то, что «этот ключ нельзя использовать после указанной даты», но не делает ключ бесполезным: математика по-прежнему работает нормально.
Если я подпишу коммит Git ключом PGP с датой истечения срока действия, что это значит для людей, которые просматривают этот коммит после истечения срока действия?
При проверке подписей реализации OpenPGP сравнивают дату истечения срока действия с датой выдачи подписи. Если подпись была выдана в течение срока действия, все в порядке. Если нет, то выдаст предупреждение (что-то вроде "подпись была в порядке, но выдана после истечения срока действия").
Что, если у проверяющей стороны есть новый ключ от меня? Или только мой старый? Или оба?
Если у них есть ваш старый ключ, они могут проверить подписи, выданные вашим старым ключом. Для вашего нового ключа они могут проверить те, которые выданы вашим новым ключом. Если у них есть оба, они могут проверить оба.
Должны ли все ключи, используемые для подписи фиксации, быть постоянными?
Имейте в виду, что дата истечения срока действия на самом деле не добавляет никакой безопасности, поскольку ее можно изменить произвольно, если вы контролируете секретный первичный ключ. Также дата подписи может быть установлена произвольно, она записывается реализацией OpenPGP, используемой для создания подписи; злоумышленник может просто установить фальшивое системное время. Я подробно обсуждал безопасность даты истечения срока действия на дочернем сайте информационной безопасности в вопросе "Увеличивает ли срок действия ключа OpenPGP безопасность? "а>.
Использование даты истечения срока действия допустимо, если вы хотите указать, что ключ не будет использоваться по истечении заданного времени, но не рассматривайте это как функцию безопасности. Многие люди с продвинутым использованием ключей OpenPGP имеют первичный ключ без даты истечения срока действия и регулярно депонируют подразделы, которые они выпускают с ограниченным сроком действия.
Создание новых первичных ключей означает, что другие должны снова подтвердить ваш новый ключ. Первичный ключ — это общий якорь доверия в OpenPGP, и создание нового означает потерю всех доверенностей/сертификатов.
person
Jens Erat
schedule
23.07.2016