Importar y renovar una clave GPG caducada

Cómo cambiar fecha de expiración de clave GPG.

Una clave GPG (también llamadas claves GnuPG) es un método usado para aumentar la seguridad y privacidad de las comunicaciones. Este sistema permite cifrar y/o firmar digitalmente correos electrónicos, certificando el origen o autor y protegiendo su contenido mediante el cifrado de los datos.

En mi caso, mi clave GPG llevaba caducada desde julio de 2016. Esto impedía firmar y cifrar correos, pues durante este tiempo no lo he necesitado.

Puedes leer más sobre GPG/PGP y su gestión en mi entrada: Crear, publicar, firmar y más comandos para gestionar claves GPG en Linux.

A lo largo de la siguiente entrada mostraré como añadir una clave GPG en Linux y como cambiar el vencimiento de una llave GPG caducada o expirada.

Buscar clave pública GPG en keyservers

Las claves públicas GPG o PGP se almacenan en servidores de claves o keyservers. En Debian, el servidor de intercambio de claves por defecto es keys.gnupg.net, que también dispone también de una interfaz web para realizar las búsquedas y consultar información.

En la búsqueda podemos utilizar cualquier campo: nombre, apellidos, dirección de correo electrónico o ID de la clave.

El resultado que se devuelve corresponde a la clave pública 85268F85 que fue creada en noviembre de 2015 y aparece como caducada desde julio de 2016.

Ha sido consultada en el servidor de keys.gnupg.net. Existen otros servidores conocidos como el de RedIRIS (pgp.rediris.es) o el del MIT (pgp.mit.edu).

Importar clave privada GPG en Debian

Para gestionar una llave GPG, necesitamos la clave privada o clave secreta que se creó conjuntamente con la clave pública. Sin la clave secreta no podremos firmar ni cifrar correos, tampoco modificar su fecha de vencimiento o realizar un certificado de revocación. También necesitamos la contraseña con la que fue protegida la clave.

Es importante tener muy en cuenta esto, porque no existe ningún mecanismo de recuperación. Nada del estilo «He olvidado mi contraseña».

Ubicados en el directorio donde se encuentra nuestra clave privada, que puede tener extensión .key, ejecutamos su importación con gpg --import nombre.gpg

Podemos comprobar que se ha importado correctamente en nuestro sistema con el comando gpg --list-secret-keys

Renovar o ampliar expiración de clave PGP

Como he comentado, para cambiar la fecha de vencimiento de una clave GPG es necesario disponer de la clave privada de esta y conocer la contraseña, en caso de que la tenga.

A raíz de ahí, será posible ampliar la fecha de expiración de la clave (incluso si esta aún no ha caducado) con el fin de poder seguir haciendo uso de la clave PGP para firmar y cifrar.

El primer paso será editar la llave con el comando gpg --edit-key 85268F85 donde nuevamente podremos ver que la llave caducó.

Se lista la clave pública con ID 85268F85 (identificada con pub al comienzo de la línea) y la subclave 13B69DCC (identificada con sub al comienzo de la línea), que es la que uso para cifrar.

Con el anterior comando, entraremos en una CLI de gpg. Clave pública y subclave tienen fechas de expiración independientes aunque estas, en este caso, coincidan. Lo primero será seleccionar la clave pública con la ejecución key 0.

Seguidamente renovamos la expiración de la clave seleccionada con expire y ampliamos la fecha de caducidad utilizando la unidad que deseemos. En mi caso, elijo 5 años siendo ahora la fecha de caducidad el 29 de septiembre de 2024.

Sin salir de la consola de gpg, cambiamos el selector a la clave 1 y el periodo de validez de la clave GPG sumándole 5 años.

Al igual que en el cambio anterior, debemos ingresar la contraseña para hacer uso de la clave privada GPG. Tras esto, salimos con q y grabamos los cambios.

No debemos olvidar que estos cambios deben ser subidos a un servidor de claves GPG. En el siguiente punto detallo cómo actualizar una clave GPG en los servidores de llaves o keyservers.

Subir y actualizar clave en servidor GPG

El último paso es subir los cambios que hemos realizado en nuestra llave GPG. Para ello hacemos uso del comando gpg --send-key seguido de la ID de nuestra clave primaria. Se subirá por defecto al mismo servidor de claves en el que realiza la búsqueda.

Es posible que si realizas una búsqueda con gpg --search-key aún obtengas la fecha de expiración antigua, pues es necesario que se sincronicen los cambios en todos los servidores de claves GPG.

Con ello, ya tendrás tu clave GPG disponible de nuevo para firmar y cifrar tus comunicaciones. Pero… ¡recuerda no perder nunca de vista tu clave privada!

Compartir es agradecer. Si te ha gustado... ¡compartélo!
Comparte con tus amigos










Enviar

1 respuesta

  1. victorhck dice:

    Gracias!
    Me ha servido de complemento esta guía!! 🙂
    Saludos!!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.