У меня есть несколько надежных устройств, работающих на Ubuntu, которые синхронизируются с настраиваемым хранилищем пакетов Debian для обновлений программного обеспечения через автоматические обновления. Однако срок действия ключа OpenPGP, использовавшегося для подписания файла релиза, истек, прежде чем я это заметил. Теперь устройства не могут автоматически обновлять открытый ключ OpenPGP и проверять подлинность пакетов и больше не могут обновляться до последних пакетов, доступных в хранилище. Можно ли как-то спасти эту ситуацию без ручного запуска каких-либо команд на устройствах? Какова стандартная настройка для включения ротации ключей gpg (без будущего вмешательства на клиентских устройствах)?
Если Вы все еще получили доступ к закрытому ключу, можно легко расширить срок действия, работающий gpg --edit-key [key-id]
и затем использующий эти expire
команда. Таким образом, необходимо удаться иметь старые машины "погрузка" на обновлениях снова и затем спроектировать фактическое ключевое условное депонирование. Также читайте "Действительно ли OpenPGP, вводит, истечение добавляют к безопасности?" (редактирование: Я забыл, что ключ должен быть обновлен на клиентах, которых не произойдет автоматически).
А общий "OpenPGP путь" для контакта с с довольно частым (чаще, чем все десятилетие) ключевое условное депонирование в данном расписании сохраняет основной закрытый ключ офлайн (например, на выделенном компьютере не подключенным к Интернету) и не депонирует его, в то время как фактическое подписание выполняется подразделом подписания, который можно депонировать легко, не теряя доверие на машинах (и у Вас может быть несколько допустимых одновременно).
Как альтернатива, Вы могли установить новый доверяемый ключ OpenPGP, прежде чем старый истечет.