I'm asking this because I've read somewhere the expiration date in OpenPGP is more of a notification mechanism and can be changed even after a key has expired.
La data di scadenza di OpenPGP è generalmente soddisfacente, ma non presenta alcuna funzione di sicurezza (considerando la chiave primaria). Ho discusso in dettaglio la data di scadenza in La scadenza della chiave OpenPGP è stata aggiunta alla sicurezza? .
Are expired keys eligible default keys?
Questo può essere facilmente testato generando due chiavi, la prima che scade il giorno successivo, l'altra senza data di scadenza. faketime
ti consente di viaggiare nel futuro senza perdere tempo con il tuo tempo di sistema.
$ gpg -K
sec 1024R/644AC000 2016-07-09 [expires: 2016-07-10]
uid Foo Bar <[email protected]>
sec 1024R/0457686A 2016-07-09
uid Batz Quix <[email protected]>
Utilizzo della chiave predefinita per la firma, subito dopo la creazione della chiave:
$ echo foo | gpg --sign
You need a passphrase to unlock the secret key for
user: "Foo Bar <[email protected]>"
1024-bit RSA key, ID 644AC000, created 2016-07-09
Ora viaggiamo nel tempo e vediamo cosa succede dopodomani:
$ echo foo | faketime '2 days' gpg --sign
You need a passphrase to unlock the secret key for
user: "Batz Quix <[email protected]>"
1024-bit RSA key, ID 0457686A, created 2016-07-09
Or should I manually set the default key in gpg.conf
?
Per sicurezza, lo farei comunque: quasi nessuno sforzo, e meglio che GnuPG fallisca con un messaggio di errore piuttosto che fare "cose strane" solo perché l'ora del sistema era sbagliata o qualcosa del genere. E visto che ci sei, usa l'impronta digitale completa - specialmente ID chiave breve (come elencato nell'output di esempio sopra) insicuro.