Jeśli utworzysz nowy klucz GPG, domyślnie otrzymasz parę kluczy głównych tylko do podpisywania i parę kluczy podrzędnych tylko do szyfrowania.
pub 2048R/XXXXXXXX created: 2013-02-09 expires: 2014-02-09 usage: SC
sec 2048R/XXXXXXXX 2013-02-09 [expires: 2014-02-09]
sub 2048R/ZZZZZZZZ created: 2013-02-09 expires: 2014-02-09 usage: E
ssb 2048R/ZZZZZZZZ 2013-02-09 [expires: 2014-02-09]
(Dane wyjściowe połączone z gpg --list-keys
i gpg --list-secret-keys
)
Zaleca się również, aby nie używać klucza głównego do regularnego podpisywania (wiadomości e-mail / danych), ale aby utworzyć kolejny podklucz tylko do podpisywania i usunąć / wykonać kopię zapasową klucza głównego w bezpiecznej lokalizacji offline, aby używać go tylko do podpisywania kluczy .
Ma to sens, ponieważ większość punktów końcowych szyfrowania to laptopy / telefony lub inne zawsze mobilne urządzenia mobilne, które narażają klucze prywatne na ryzyko kradzieży lub utraty. Dzięki bezpiecznie przechowywanemu kluczowi głównemu zawsze możesz odwołać zgubione podklucze i nigdy nie utracić podpisów kluczy.
Tak więc, chociaż separacja klucza głównego <-> jest dla mnie jasna, nie rozumiem, dlaczego nacisk kładziony jest na rozdzielanie kluczy podpisywania i szyfrowania (nawet jeśli oba są podkluczami). Czy ktoś może wyjaśnić, dlaczego jest to konieczne, a przynajmniej jaka jest korzyść z bezpieczeństwa lub z praktycznego punktu widzenia?
Technicznie jest całkowicie wykonalne i obsługiwane przez GnuPG, aby utworzyć podklucz ORAZ do szyfrowania.
pub 2048R/YYYYYYYY created: 2013-08-13 expires: 2014-08-13 usage: SCEA
sub 2048R/VVVVVVVV created: 2013-08-13 expires: 2014-08-13 usage: SEA