Porque sí, ya tocaba. Concretamente tocaba porque caducó hace unos meses y no he tenido oportunidad de hacerlo hasta hoy.
Una vez resuelto el problema de que funcionase el agente GPG y que pudiese introducir la contraseña he realizado (casi) los pasos que seguí cuando la creé a finales de 2019. En esta entrada contaba cómo hacerlo en condiciones y ahora me he limitado a añadir una nueva subclave para firmar y a borrar la ya caducada.
Así pues, lo que he hecho ha sido:
- Descargar la clave privada de la clave maestra que tenía guardada en el gestor de contraseñas.
- Importar la clave privada en el anillo.
- Editar la clave maestra y crear la subclave RSA para firma.
- Exportar la parte pública de la clave maestra y la parte privada (la de firma) de la subclave nueva.
- Borrar la clave privada de la clave maestra (y contestar que sí, que seguro, a la media docena de preguntas que me ha hecho).
- Importar la clave pública y la clave de firma antes guardadas en archivo en el paso 4.
- Enviar la clave maestra de nuevo al servidor keys.openpgp.org y atender a los dos correos que me envían para asegurarse. Rápido y limpio de nuevo.
- Usar la clave para firmar el manifiesto de paquetes del repositorio en cada reconstrucción.
$ gpg --keyid-format LONG -k root@astillas.net
$ gpg --import tmp/astillas-private.key
$ gpg --edit-key root@astillas.net
gpg> addkey
...
$ gpg --keyid-format LONG -k root@astillas.net
$ gpg --export 6271C5A23783C61F > public.key
$ gpg --export-secret-subkeys 9D3D846624520DC1 > signing.key
$ gpg --delete-secret-keys 6271C5A23783C61F
$ gpg --import public.key signing.key
$ gpg --keyserver keys.openpgp.org --send-key 6271C5A23783C61FSobre el repositorio tengo que abrir definitivamente otra entrada porque se ha vuelto una configuración un tanto oscura y me está costando lo mío mantenerlo.