J'ai un certain nombre d'appareils fonctionnant sous Ubuntu trusty, en synchronisation avec un dépôt de paquets Debian personnalisé pour les mises à jour logicielles via des mises à niveau non surveillées. Cependant, la clé OpenPGP utilisée pour signer le fichier de publication a expiré avant que je ne le remarque. Maintenant, les appareils ne peuvent pas mettre à jour automatiquement la clé publique OpenPGP et authentifier les paquets, et ne peuvent plus mettre à jour les derniers paquets disponibles dans le dépôt. Existe-t-il un moyen de sortir de cette situation sans exécuter manuellement des commandes sur les appareils ? Quelle est la configuration standard pour activer la rotation des clés gpg (sans intervention future sur les appareils clients) ?
Réponse
Trop de publicités?
Si vous avez toujours accès à la clé privée, vous pouvez facilement prolonger la période de validité en cours. gpg --edit-key [key-id] puis en utilisant le expire commande. De cette façon, vous devriez réussir à faire en sorte que les anciennes machines " récupèrent " à nouveau les mises à jour, puis à projeter l'escrow de la clé réelle. Lisez aussi "L'expiration des clés OpenPGP ajoute-t-elle à la sécurité ?" (edit : j'ai oublié que la clé doit être mise à jour sur les clients, ce qui ne se fait pas automatiquement).
Une "méthode OpenPGP" courante pour faire face à une séquestration de clés plutôt fréquente (plus souvent que sur l'ensemble de la décennie) selon un calendrier donné consiste à garder la clé privée primaire hors ligne (par exemple, sur un ordinateur dédié non connecté à Internet) et à ne pas la séquestrer, tandis que la signature proprement dite est effectuée par une sous-clé de signature que vous pouvez séquestrer facilement sans perdre confiance dans les machines (et vous pouvez en avoir plusieurs valides en même temps).
Comme alternative, vous pouvez installer une nouvelle clé OpenPGP de confiance avant que l'ancienne n'expire.
