¿Las claves caducadas son claves predeterminadas elegibles?

  

Lo pregunto porque he leído en algún lugar que la fecha de caducidad en OpenPGP es más un mecanismo de notificación y se puede cambiar incluso después de que haya expirado una clave.

La fecha de caducidad de OpenPGP generalmente está bien, pero no es una función de seguridad (considerando la clave principal). Analicé en profundidad la fecha de caducidad en ¿La caducidad de la clave OpenPGP se agrega a la seguridad? .

  

¿Las claves vencidas son claves predeterminadas elegibles?

Esto se puede probar fácilmente generando dos claves, la primera que expira al día siguiente y la otra sin fecha de caducidad. faketime le permite viajar al futuro sin tener que jugar con la hora del sistema.

$ gpg -K
sec   1024R/644AC000 2016-07-09 [expires: 2016-07-10]
uid                  Foo Bar <[email protected]>

sec   1024R/0457686A 2016-07-09
uid                  Batz Quix <[email protected]>

Uso de la clave predeterminada para firmar, inmediatamente después de la creación de la clave:

$ echo foo | gpg --sign

You need a passphrase to unlock the secret key for
user: "Foo Bar <[email protected]>"
1024-bit RSA key, ID 644AC000, created 2016-07-09

Ahora viajemos en el tiempo y veamos qué pasa pasado mañana:

$ echo foo | faketime '2 days' gpg --sign

You need a passphrase to unlock the secret key for
user: "Batz Quix <[email protected]>"
1024-bit RSA key, ID 0457686A, created 2016-07-09

  

¿O debería configurar manualmente la clave predeterminada en gpg.conf ?

Para asegurarme, lo haré de todos modos: casi sin esfuerzo, y es mejor que GnuPG falle con un mensaje de error que haciendo "cosas raras" simplemente porque la hora del sistema era incorrecta o algo así. Y mientras lo hace, use la huella digital completa, especialmente las las ID de teclas cortas (como se indica en la salida de ejemplo anterior) son inseguro .