Les clés privées n'expirent jamais. Seules les clés publiques le font. Sinon, le monde ne remarquerait jamais l'expiration, car (espérons-le), il ne verrait jamais les clés privées.
Pour l’essentiel, il n’existe qu’un seul moyen, ce qui enregistre une discussion sur les avantages et les inconvénients.
Vous devez prolonger la validité de la clé principale:
gpg --edit-key 0x12345678
gpg> expire
...
gpg> save
Vous devez prendre une décision quant à l’extension de la validité du remplacement des sous-clés. En les remplaçant, vous bénéficiez d'une sécurité avancée limitée (limitée à des délais assez longs). Si cela est important pour vous, vous devez avoir des sous-clés (séparées) pour le cryptage et la signature (la valeur par défaut est une pour le cryptage uniquement).
gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save
Vous avez besoin de key 1
deux fois pour sélectionner et désélectionner car vous ne pouvez étendre la validité que d’une clé à la fois.
Vous pouvez également décider de prolonger la validité, sauf si vous avez une raison de penser que la clé a été compromise. Ne pas jeter tout le certificat en cas de compromission n'a de sens que si vous avez une clé principale hors ligne (IMHO étant le seul moyen raisonnable d'utiliser OpenPGP de toute façon).
Les utilisateurs de votre certificat doivent quand même obtenir sa version mise à jour (que ce soit pour les nouvelles signatures de clé ou pour les nouvelles clés). Le remplacement rend la clé un peu plus grande mais ce n’est pas un problème.
Si vous utilisez des cartes à puce (ou prévoyez de le faire), le fait de disposer de plus de clés (de chiffrement) crée un certain inconvénient (une carte avec la nouvelle clé ne peut pas déchiffrer les anciennes données).
gpg> expire Need the secret key to do this.
Des idées comment contourner cela?