LibreSSL项目签名密钥过期问题解析

LibreSSL项目签名密钥过期问题解析

portable LibreSSL Portable itself. This includes the build scaffold and compatibility layer that builds portable LibreSSL from the OpenBSD source code. Pull requests or patches sent to tech@openbsd.org are welcome. 项目地址: https://gitcode.com/gh_mirrors/po/portable

LibreSSL作为OpenBSD项目推出的开源TLS/SSL协议栈实现，其软件包发布时都会使用PGP签名确保完整性。近期在验证LibreSSL 3.8.3版本时，部分用户遇到了签名验证失败的问题，提示签名密钥已过期。

问题现象

当用户尝试验证libressl-3.8.3.tar.gz的签名文件时，GPG工具会报错显示签名密钥已过期。具体表现为：

• 签名时间显示为2024年3月9日
• 使用的RSA子密钥6F67522EC596C025B24549911FFAA0B24B708F96
• 密钥关联的三个身份标识均显示过期状态

问题原因

PGP密钥通常设置有效期以增强安全性。LibreSSL项目维护者Brent Cook的签名密钥确实已经到期，这是正常的密钥轮换过程。虽然签名本身是有效的（Good signature），但由于密钥过期状态，严格的验证系统会拒绝该签名。

解决方案

用户需要更新本地存储的PGP公钥。可以通过以下方式获取最新密钥：

1. 从OpenBSD官方服务器获取最新密钥文件
2. 通过Keybase平台下载维护者的最新公钥
3. 等待密钥服务器同步更新（部分公共密钥服务器同步较慢）

更新密钥后，验证过程即可正常通过。项目维护者已确认将新密钥上传至多个公共密钥服务器以加速分发。

密钥管理建议

对于依赖PGP验证的系统和用户，建议：

1. 定期检查并更新项目维护者的公钥
2. 从项目官方渠道获取密钥，而非完全依赖公共密钥服务器
3. 理解密钥过期是正常的安全实践，不代表签名本身存在问题
4. 对于自动化系统，可考虑适当放宽对过期密钥的限制（需评估安全风险）

LibreSSL项目团队对密钥管理采取了负责任的态度，用户只需简单更新即可继续安全地使用该开源项目。

portable LibreSSL Portable itself. This includes the build scaffold and compatibility layer that builds portable LibreSSL from the OpenBSD source code. Pull requests or patches sent to tech@openbsd.org are welcome. 项目地址: https://gitcode.com/gh_mirrors/po/portable