Якщо ви створите новий ключ GPG, ви за замовчуванням отримаєте пару головних ключів лише для підписання та пару підклавішів, що мають лише шифрування.
pub 2048R/XXXXXXXX created: 2013-02-09 expires: 2014-02-09 usage: SC
sec 2048R/XXXXXXXX 2013-02-09 [expires: 2014-02-09]
sub 2048R/ZZZZZZZZ created: 2013-02-09 expires: 2014-02-09 usage: E
ssb 2048R/ZZZZZZZZ 2013-02-09 [expires: 2014-02-09]
(Вихід суміщений з gpg --list-keys
та gpg --list-secret-keys
)
Також рекомендується не використовувати свій головний ключ для регулярного підписання (поштою / даними), а створити інший під ключ лише для підписання та видалити / створити резервну копію головного ключа в безпечному та офлайн-місці лише для використання для підпису ключа. .
Це має сенс, оскільки більшість кінцевих точок шифрування - це ноутбуки / телефони чи інші мобільні пристрої, що постійно працюють в Інтернеті, що піддають ваші приватні ключі ризику крадіжки або втрати. За допомогою надійно збереженого основного ключа ви завжди можете відкликати такі втрачені підключі та ніколи не втрачати свої підписи.
Тож як мені відоме розділення основного ключа <->, я не розумію, чому саме цей акцент робиться на розділенні ключів підпису та шифрування (навіть якщо вони обидва підключі). Чи може хтось пояснити, чому це потрібно чи хоча б яка перевага з безпеки чи практичної точки зору?
Технічно це цілком можливо і підтримується GnuPG для створення підкладу підписування І шифрування.
pub 2048R/YYYYYYYY created: 2013-08-13 expires: 2014-08-13 usage: SCEA
sub 2048R/VVVVVVVV created: 2013-08-13 expires: 2014-08-13 usage: SEA