Solución:
Las claves privadas nunca caducan. Solo las claves públicas lo hacen. De lo contrario, el mundo nunca notaría la caducidad ya que (con suerte) el mundo nunca verá las claves privadas.
Para la parte importante, solo hay una forma, por lo que se ahorra una discusión sobre los pros y los contras.
Tienes que extender la validez de la clave principal:
gpg --edit-key 0x12345678
gpg> expire
...
gpg> save
Debe tomar una decisión sobre la extensión de la validez frente a la sustitución de la (s) subclave (s). Reemplazarlos le brinda una seguridad de avance limitada (limitada a períodos de tiempo bastante largos). Si eso es importante para usted, entonces debería tener subclaves (separadas) tanto para el cifrado como para la firma (el valor predeterminado es solo para el cifrado).
gpg --edit-key 0x12345678
gpg> key 1
gpg> expire
...
gpg> key 1
gpg> key 2
gpg> expire
...
gpg> save
Necesitas key 1 dos veces para seleccionar y anular la selección porque puede extender la validez de solo una clave a la vez.
También puede decidir extender la validez a menos que tenga alguna razón para asumir que la clave se ha visto comprometida. No desechar todo el certificado en caso de compromiso tiene sentido solo si tiene una clave principal fuera de línea (que en mi humilde opinión es la única forma razonable de usar OpenPGP de todos modos).
Los usuarios de su certificado deben obtener su versión actualizada de todos modos (ya sea para las nuevas firmas de claves o para las nuevas claves). Reemplazar hace que la llave sea un poco más grande, pero eso no es un problema.
Si usa tarjetas inteligentes (o planea hacerlo), tener más claves (de cifrado) crea un cierto inconveniente (una tarjeta con la nueva clave no puede descifrar los datos antiguos).