Comment renouveler une paire de clés expirée avec gpg

Les clés privées n'expirent jamais. Seules les clés publiques le font. Sinon, le monde ne remarquerait jamais l'expiration car (espérons-le) le monde ne verrait jamais les clés privées.

Pour la partie importante, il n'y a qu'une seule façon, ce qui évite une discussion sur les avantages et les inconvénients.

Vous devez prolonger la validité de la clé principale:

gpg --edit-key 0x12345678
gpg> expire
...
gpg> save

Vous devez prendre une décision concernant l'extension de la validité de ou le remplacement des sous-clés. Les remplacer vous offre une sécurité avancée limitée (limitée à des délais assez longs). Si cela est important pour vous, vous devez avoir des sous-clés (distinctes) pour le chiffrement et la signature (la valeur par défaut est une pour le chiffrement uniquement).

gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save

Vous avez besoin key 1 deux fois pour la sélection et la désélection car vous pouvez étendre la validité d'une seule clé à la fois.

Vous pouvez également décider de prolonger la validité, sauf si vous avez des raisons de supposer que la clé a été compromise. Ne pas jeter tout le certificat en cas de compromis n'a de sens que si vous avez une clé principale hors ligne (ce qui à mon humble avis est le seul moyen raisonnable d'utiliser OpenPGP de toute façon).

Les utilisateurs de votre certificat doivent de toute façon obtenir sa version mise à jour (soit pour les nouvelles signatures de clés, soit pour les nouvelles clés). Le remplacement rend la clé un peu plus grosse mais ce n'est pas un problème.

Si vous utilisez des cartes à puce (ou prévoyez de le faire), le fait d'avoir plus de clés (de chiffrement) crée un certain inconvénient (une carte avec la nouvelle clé ne peut pas déchiffrer les anciennes données).