如果我使用一个有过期日期的OpenPGP密钥签署git提交,那么在过期日期之后查看该提交的人会发生什么?像这样用于提交签名的所有密钥都应该是永久的吗?
如果验证方有我的新密钥呢?或者只有我的旧密钥?或者两者都有?
总的来说,我对OpenPGP和签署git提交的相关知识还比较陌生。
如果验证方有我的新密钥呢?或者只有我的旧密钥?或者两者都有?
总的来说,我对OpenPGP和签署git提交的相关知识还比较陌生。
git show-signature/verify认为即使在密钥被吊销之前签署,吊销的密钥也是无效的,例如来自吊销yubikey签名的此示例:https://www.flickr.com/photos/steve_l/37493124630/in/datetaken/
考虑到这种结果,我认为在这种情况下不吊销密钥,而是更改到期日期并向密钥服务器推送更新,说“密钥已过期”,可能会减轻一些创伤。这样,现有的提交仍然可以得到验证。