[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
GnuPG: Best practise Alter Key / Neuer Key

Subject: GnuPG: Best practise Alter Key / Neuer Key
From: Raphael Eiselstein <rabe@xxxxxxxxx>
Date: Mon, 16 Sep 2013 02:40:00 +0200
To: uugrn@xxxxxxxxxxxxxxx
Hallo zusammen,

mein bisher verwendeter Key 

        E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D

ist nunmehr knapp 10 Jahre alt. Er besitzt allerdings kein
Verfallsdatum, sodass ich ihn anderweitig fuer ungueltig erklaeren lassen
will. 

Ich habe zwar keinen konkreten Anlass oder Anhaltspunkt, dass er 
kompromittiert ist, aber aufgrund seines Alters und aufgrund der 
"nur" 1024 Bits (DSA) ziehe ich es vor, ihn kuenftig nicht mehr zu 
verwenden. (Diese Info ist mit exakt diesem Key signiert, vertraut 
dieser Aussage also besser nicht ;-)

Ausserdem haben sehr viele Menschen meinen alten Key noch anhand 
meines Geburtsnamens verifiziert und signiert und Menschen, die das
Thema ernst nehmen hinterfragen das â?? zu recht â?? jedes mal kritisch. 

Ich habe mir einen neuen Key erzeugt 

        4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E

den ich kuenftig (bis 2023-09-13) verwenden werde, sofern keine
dringenden Gruende dagegen sprechen. 

Ich will in Zukunft vermeiden, dass jemand auf der Suche nach meinem Key
den alten Schluessel findet und verwendet obgleich ich ihn ja nicht
verloren habe und weiterhin zur Entschluesselung verwenden koennte. Ich
will auch in Zukunft mit diesem alten Key verschluesselte Mails an mich
noch lesen koennen.

(1) Wie verteile ich auf den Keyservern die Information, dass 10CA9F2D
  nicht mehr "aktuell" ist und stattdessen F625DB4E bevorzugt werden
  soll?
  + revoken? Falls ja, wie?
  + Kann ich den Key nach dem Revoken noch weiterhin lokal einsetzen? 

(2) Gibt es ein "standardisiertes" Verfahren mit dem ich allen, die meinen
alten Key signiert haben, aktiv mitteilen kann, dass ich als Person kuenftig 
ueber einen anderen Key erreichbar sein will?

Ich wuerde naiverweise einfach allen, die meinen alten Key signiert
haben eine (fuer den jeweiligen Empfaenger-Key) verschluesselte und 
signierte Mitteilung schicken, in dem ich diese Information im
Klartext uebermittel. 

  + Gibt es hier spezielle Tools, die das fuer mich uebernehmen?
  + Gibt es ein standardisiertes Nachrichtenformat dafuer?

Ich gehe nicht davon aus, dass irgendwer aufgrund dieser Info meinen
neuen Key signieren wird. Die bevorzugte Methode duerfte auch hier wieder
das "klassische Auge-in-Auge"-Verfahren mit analoger offline-Pruefung von
Ausweisdokumenten mit Lichtbild sein. 

Viele Gruesse
Raphael
 
-- 
Raphael Eiselstein <rabe@xxxxxxxxx>               http://rabe.uugrn.org/
xmpp:freibyter@xxxxxx  | https://www.xing.com/profile/Raphael_Eiselstein   
PGP (alt):            E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/