Renovando clave GPG de mi repositorio de paquetes Debian

Porque sí, ya tocaba. Concretamente tocaba porque caducó hace unos meses y no he tenido oportunidad de hacerlo hasta hoy.

Una vez resuelto el problema de que funcionase el agente GPG y que pudiese introducir la contraseña he realizado (casi) los pasos que seguí cuando la creé a finales de 2019. En esta entrada contaba cómo hacerlo en condiciones y ahora me he limitado a añadir una nueva subclave para firmar y a borrar la ya caducada.

Así pues, lo que he hecho ha sido:

  1. Descargar la clave privada de la clave maestra que tenía guardada en el gestor de contraseñas.
  2. Importar la clave privada en el anillo.
  3. Editar la clave maestra y crear la subclave RSA para firma.
  4. Exportar la parte pública de la clave maestra y la parte privada (la de firma) de la subclave nueva.
  5. Borrar la clave privada de la clave maestra (y contestar que sí, que seguro, a la media docena de preguntas que me ha hecho).
  6. Importar la clave pública y la clave de firma antes guardadas en archivo en el paso 4.
  7. Enviar la clave maestra de nuevo al servidor keys.openpgp.org y atender a los dos correos que me envían para asegurarse. Rápido y limpio de nuevo.
  8. Usar la clave para firmar el manifiesto de paquetes del repositorio en cada reconstrucción.
$ gpg --keyid-format LONG -k root@astillas.net
$ gpg --import tmp/astillas-private.key 
$ gpg --edit-key root@astillas.net
gpg> addkey 
...
$ gpg --keyid-format LONG -k root@astillas.net
$ gpg --export 6271C5A23783C61F > public.key
$ gpg --export-secret-subkeys 9D3D846624520DC1 > signing.key
$ gpg --delete-secret-keys 6271C5A23783C61F
$ gpg --import public.key signing.key 
$ gpg --keyserver keys.openpgp.org --send-key 6271C5A23783C61F

Sobre el repositorio tengo que abrir definitivamente otra entrada porque se ha vuelto una configuración un tanto oscura y me está costando lo mío mantenerlo.