… ¿ y qué hacemos ahora ? ¡ Una clave caducada, nada menos !
Pues sí, dos años ha durado porque en dos años establecí su caducidad y no me puedo quejar. Es más, me da la oportunidad de revisitar el tema y aclarar algunos conceptos.
Desde el año 2017 estoy utilizando el programa reprepro para mantener dos repositorios de paquetes Debian: uno personal y otro para mi trabajo. En el primero la clave GPG que creé para firmar los paquetes ha caducado y desde hace unos días no es posible actualizar automáticamente las distintas máquinas donde la utilizo.
Esta mañana me he puesto a ello y he ido anotando todos los pasos que he dado para volver a crear una clave de firma.
El proceso consiste en crear una clave maestra empleando el programa gpg con las siguientes características:
- Tipo 1 (RSA y RSA) y de confianza absoluta
- Tamaño 4096 bits
- Sin fecha de expiración
- Con la dirección de correo del administrador del repositorio (root@astillas.net en mi caso) como identificador
- Una contraseña que considero robusta
Una vez hecho ésto la idea es crear una subclave para firmar los paquetes y extraer la clave privada de la clave maestra del anillo GPG local de manera que permanezca a salvo para poder revocarla o renovarla llegado el caso.
Para la custodia creo una entrada en mi archivo Keepass y le añado como adjunto la clave maestra exportada además de anotar la contraseña y otros detalles
Como paso final publicamos la clave pública de la subclave a un servidor externo. He elegido keys.opengpg.org para ello y, tras emplear la clave para firmar los paquetes del repositorio, efectuaré una prueba de importación desde el servidor en uno de los servidores secundarios.
Lo anterior puede parecer algo lioso pero si se tiene claro qué se quiere conseguir la guía de Digital Ocean al respecto es tan fácil como una receta de cocina.
Y una vez que tenemos nuestra clave para firmar paquetes vamos a ver cómo podemos usarla en nuestro repositorio personal. Es obvio que los clientes de dicho repositorio tendrán que importar la nueva clave y es algo que me gustaría poder automatizar para el siguiente año. De momento pongo un aviso en mi calendario personal para primeros de diciembre de 2020. Lo mismo hasta llego a tiempo y todo.
Y como he visto que hay algunos detalles importantes desde el punto de vista técnico, prefiero hacer una entrada nueva o condenaré a ésta a permanecer para siempre como boceto.
En seguida vuelvo …
[…] ayer dije que volvía en un rato pero luego se me va el vino en […]