GnuPG: Best practise Alter Key / Neuer Key

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Mon, 16 Sep 2013 02:40:00 +0200
Hallo zusammen,

mein bisher verwendeter Key 

        E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D

ist nunmehr knapp 10 Jahre alt. Er besitzt allerdings kein
Verfallsdatum, sodass ich ihn anderweitig für ungültig erklären lassen
will. 

Ich habe zwar keinen konkreten Anlass oder Anhaltspunkt, dass er 
kompromittiert ist, aber aufgrund seines Alters und aufgrund der 
"nur" 1024 Bits (DSA) ziehe ich es vor, ihn künftig nicht mehr zu 
verwenden. (Diese Info ist mit exakt diesem Key signiert, vertraut 
dieser Aussage also besser nicht ;-)

Außerdem haben sehr viele Menschen meinen alten Key noch anhand 
meines Geburtsnamens verifiziert und signiert und Menschen, die das
Thema ernst nehmen hinterfragen das – zu recht – jedes mal kritisch. 

Ich habe mir einen neuen Key erzeugt 

        4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E

den ich künftig (bis 2023-09-13) verwenden werde, sofern keine
dringenden Gründe dagegen sprechen. 

Ich will in Zukunft vermeiden, dass jemand auf der Suche nach meinem Key
den alten Schlüssel findet und verwendet obgleich ich ihn ja nicht
verloren habe und weiterhin zur Entschlüsselung verwenden könnte. Ich
will auch in Zukunft mit diesem alten Key verschlüsselte Mails an mich
noch lesen können.

(1) Wie verteile ich auf den Keyservern die Information, dass 10CA9F2D
  nicht mehr "aktuell" ist und stattdessen F625DB4E bevorzugt werden
  soll?
  + revoken? Falls ja, wie?
  + Kann ich den Key nach dem Revoken noch weiterhin lokal einsetzen? 

(2) Gibt es ein "standardisiertes" Verfahren mit dem ich allen, die meinen
alten Key signiert haben, aktiv mitteilen kann, dass ich als Person künftig 
über einen anderen Key erreichbar sein will?

Ich würde naiverweise einfach allen, die meinen alten Key signiert
haben eine (für den jeweiligen Empfänger-Key) verschlüsselte und 
signierte Mitteilung schicken, in dem ich diese Information im
Klartext übermittel. 

  + Gibt es hier spezielle Tools, die das für mich übernehmen?
  + Gibt es ein standardisiertes Nachrichtenformat dafür?

Ich gehe nicht davon aus, dass irgendwer aufgrund dieser Info meinen
neuen Key signieren wird. Die bevorzugte Methode dürfte auch hier wieder
das "klassische Auge-in-Auge"-Verfahren mit analoger offline-Prüfung von
Ausweisdokumenten mit Lichtbild sein. 

Viele Grüße
Raphael
 
-- 
Raphael Eiselstein <rabe@uugrn.org>               http://rabe.uugrn.org/
xmpp:freibyter@gmx.de  | https://www.xing.com/profile/Raphael_Eiselstein   
PGP (alt):            E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 16.09.2013

Dieses Archiv wurde generiert von hypermail 2.2.0 : 16.09.2013 CEST