Mise à jour de la base de données, veuillez patienter...

Petit condensé de cet article en anglais :) http://www.g-loaded.eu/2010/11/01/change-expiration-date-gpg-key/

Beaucoup d'utilisateurs de clés PGP utilisent une paire de clés qui n'expirent jamais. Avec ce mode de fonctionnement, il faut veiller à:
- générer et conserver un certificat de révocation
- envoyer sur serveur de clés la révocation de la clé, le cas échéant
- compter sur le rafraîchissement régulier du cache de clés par tous ceux qui ont récupéré la clé publique

En effet les autres utilisateurs doivent être informés d'une manière ou d'une autre qu'ils ne doivent plus utiliser la clé publique si la paire de clés a été compromise. Et si vous avez plus votre clé privée et pas de certificat de révocation.. bah c'est caca.
D'un point de vue sécurité, il est bien mieux de définir une date d'expiration, et changer celle-ci un peu avant si la clé publique peut encore être utilisée par les autres utilisateurs. Oui on peut changer la date d'expiration d'une clé après génération. Je vous montre, avec la mienne :)

=== avec gpg ===
C'est la méthode "puristes":
gpg --edit-key 4ABDB526

S'en suit un résumé des propriétés de la clé, et vous avez un shell gpg.  Tapez "list" pour lister les clés. Pour sélectionner la clé à modifier (clé primaire, ou des clés secondaires), tapez "key" suivi de l'ordre de la clé. "key 0" édite la clé primaire, "key 2" édite la 2e clé secondaire.
À présent, tapez "expire". La question vous est posée dans combien de temps la clé doit expirer. "5" fait expirer la clé dans 5 jours, "5w" la fait expirer dans 5 semaines, "3m" dans 3 mois, "10y" dans 10 ans.
Je vous conseille de définir la même date d'expiration pour votre clé primaire et vos clés secondaires utilisées. Les deux vous sont nécessaires.
Une fois les modifications faites, tapez "save", et voilà ! Envoyez votre clé publique sur les serveurs de clés:

gpg --keyserver pgp.mit.edu --send-keys 4ABDB526

=== avec Enigmail ===
C'est la méthode facile :) Hyper pratique, cette extension Thunderbird.
Enigmail → "Gestion des clés". Clic droit → "Propriétés de la clef". "Sélectionner l'action" → "Changer la date d'expiration". Entrez le nombre de jours/mois/années → OK, et voilà !
Clic droit → "Envoyer les clés publiques vers les serveurs de clés".

DANS TOUS LES CAS: vos clés PGP c'est comme vos noms de domaine: NE RATEZ PAS LEUR DATE D'EXPIRATION. Bon dans le cas de vos clés PGP, vous allez juste emmerder/faire flipper vos contacts quand ils verront votre clé expirée mais non renouvelée sur les serveurs de clés. Vous pouvez rattraper le coup sans problème tant que vous avez votre clé privée. Mais bien sûr si votre clé privée est compromise, révoquez dès que possible et laissez les clés expirer pour ceux qui n'auraient pas reçu la révocation via les serveurs de clés.
(Permalink)