%20Ubuntu%20%E5%AD%98%E5%82%A8%E5%BA%93%E7%9A%84%20OpenPGP%20%E5%AF%86%E9%92%A5%E6%8E%A8%E9%80%81%E5%88%B0%E5%9C%A8%20Ubuntu%20%E6%9C%8D%E5%8A%A1%E5%99%A8%E4%B8%8A%E8%BF%90%E8%A1%8C%E7%9A%84%E5%AE%A2%E6%88%B7%E7%AB%AF%EF%BC%9F.png)
我有许多设备在 Ubuntu Trusty 上运行,并通过无人值守升级与自定义 Debian 软件包存储库同步以进行软件更新。但是,在我注意到之前,用于签署发布文件的 OpenPGP 密钥已过期。现在,设备无法自动更新 OpenPGP 公钥并验证软件包,也无法再升级到存储库中可用的最新软件包。有没有办法在不手动在设备上运行任何命令的情况下挽救这种情况?启用 gpg 密钥轮换的标准设置是什么(无需将来干预客户端设备)?
答案1
如果您仍有权访问私钥,则可以轻松延长有效期gpg --edit-key [key-id],然后运行expire命令。这样,您应该设法让旧机器再次“接收”更新,然后投射实际的密钥托管。另请阅读“OpenPGP 密钥过期是否会增加安全性?”(编辑:我忽略了密钥需要在客户端上更新,这不会自动发生)。
一种常见的“OpenPGP 方式”是按照给定的时间表处理相当频繁(比所有十年都更频繁)的密钥托管,即使主私钥保持离线(例如,在未连接到互联网的专用计算机上)并且不托管它,而实际签名是由签名子密钥执行的,您可以轻松地托管它而不会失去对机器的信任(并且您可以同时拥有多个有效的子密钥)。
或者,您可以在旧密钥过期之前安装新的受信任的 OpenPGP 密钥。