从部署和OPS的角度来看，S/MIME签名和加密密钥是否应该有不同的过期日期？

Question

假设客户端支持不同的密钥，那么在签名和加密密钥时应该考虑什么理由呢？

加密密钥

• 需要出现在用于阅读电子邮件的每个设备上。
• 所有这些拷贝都意味着它在移动设备上丢失或被盗的风险更大(因此应该撤销)。

签名密钥

• 可以是特定于设备的
• 因为它的寿命很长(2-4年)，所以当一个装置被偷时，它可以被撤销。

因此，较少的消息子集会被质疑其完整性。

这是正确的想法吗？其他的观点是什么？

Answer 1

我建议，密钥的生存期应根据密钥大小和用于创建密钥的algoritm中的弱点的报告的可能性来确定。

根据Technet.com在2009年的说法，关于RSA建议证书的有效期应该是多长，取决于一个对手需要多长时间才能妥协一个密钥，这取决于密钥的大小。

Key length of 1024:  Validity period = not greater than 6-12 months
Key length of 2048:  Validity period = not greater than 2 years
Key length of 4096:  Validity period = not greater than 16 years

此外，CA签名的证书的有效期不能超过CA本身的有效期。