Voglio creare una nuova chiave GPG con una dimensione della chiave più lunga.
Quali sono i modi migliori per sostituire la chiave?
La mia chiave attuale è associata a un sacco di cose come GitHub, ecc
Devo revocare la mia vecchia chiave e firmare quella nuova con la vecchia?
Quindi qual è il modo migliore per farlo.
Sulla tua domanda
Vedo tramite l'ispezione delle chiavi che vengono pubblicate sui server delle chiavi pubbliche, che hai già pubblicato il certificato di revoca per la tua vecchia chiave. Il certificato di revoca include l'impronta digitale della nuova chiave. Pertanto, il tuo metodo sembra accettabile e probabilmente migliore rispetto a molti altri tentativi nel processo di rollover della chiave.
La gestione delle chiavi personali è principalmente un esercizio basato sull'opinione. Le raccomandazioni abbondano e alcune sembrano migliori di altre. La firma incrociata delle chiavi pubbliche è probabilmente un un metodo migliore senza ricorrere a un servizio di identificazione delle identità di terze parti come keybase.io
Di solito è una buona idea revocare le chiavi solo se assolutamente necessario, come una chiave privata persa o una chiave compromessa. Le moderne implementazioni gpg creano un certificato di revoca come parte del processo di generazione delle chiavi. Sul mio sistema Debian Buster, quei certificati sono automaticamente memorizzati in ~/.gnupg/openpgp-revocs.d Quindi, finché si mantiene il certificato di revoca, si può revocare una chiave pubblica inviata a volontà, indipendentemente dal fatto che uno ricordi la passphrase o abbia la chiave privata.
La scadenza delle vecchie chiavi piuttosto che la revoca è probabilmente un metodo migliore , poiché la data di scadenza su una chiave pgp può essere facilmente modificata a piacere e inviata a un server di chiavi pubbliche senza ripercussioni permanenti.
Infine, mantieni sempre le vecchie chiavi. Non scartare le chiavi private pensando che non ne avrai più bisogno. Tutti i vecchi messaggi crittografati con le vecchie chiavi pubbliche non saranno accessibili senza le vecchie chiavi private.
Su server con chiave pubblica
Chiunque può pubblicare qualsiasi chiave pubblica su un server a chiave pubblica. Quindi, non è una buona idea fidarsi ciecamente delle chiavi scoperte sui server delle chiavi pubbliche. I server delle chiavi sono disseminati anche di chiavi vecchie, compromesse, scadute e revocate. È molto difficile capire o verificare che una determinata chiave su un server delle chiavi sia la chiave corretta e attuale per la comunicazione con le informazioni sull'identità elencate sulla chiave.
L'idea originale era che le persone con le chiavi si riunissero nei meetup persona-persona chiamati parti firmatarie delle chiavi firmare a vicenda le chiavi e creare una rete di fiducia . Tuttavia, le parti che firmano le chiavi non sono così comuni e la maggior parte delle chiavi che ho incontrato sono semplicemente autofirmate con zero altre firme. Quindi, nella pratica generale, la rete di fiducia non funziona così bene per determinare quale chiave appartiene a quale identità e quale chiave è la chiave più attuale.
Questi problemi sono alcuni dei quali keybase.io ha cercato di risolvere. Keybase sostituisce la rete di fiducia personale con il monitoraggio delle identità verificate su servizi Web di terze parti come Github. Tuttavia, l'uso efficace della base di tasti richiede che si mantengano account di terzi sui servizi web che ti seguono. Quindi, l'anonimato online ha un enorme successo con l'uso della base di tasti. Alcuni potrebbero dire che è un compromesso accettabile, e alcuni potrebbero non voler accettare tale scambio.