Если вы создадите новый ключ GPG, по умолчанию вы получите пару главного ключа только для подписи и пару вложенных ключей только для шифрования.
pub 2048R/XXXXXXXX created: 2013-02-09 expires: 2014-02-09 usage: SC
sec 2048R/XXXXXXXX 2013-02-09 [expires: 2014-02-09]
sub 2048R/ZZZZZZZZ created: 2013-02-09 expires: 2014-02-09 usage: E
ssb 2048R/ZZZZZZZZ 2013-02-09 [expires: 2014-02-09]
(Вывод в сочетании с gpg --list-keys
и gpg --list-secret-keys
)
Также рекомендуется не использовать ваш главный ключ для обычной подписи (почты / данных), но создать еще один дополнительный ключ только для подписи и удалить / создать резервную копию вашего главного ключа в безопасном и автономном месте, которое будет использоваться только для подписи ключа. ,
Это имеет смысл, поскольку большинство конечных точек шифрования - это ноутбуки / телефоны или другие постоянно подключенные мобильные устройства, которые подвергают ваши личные ключи риску кражи или потери. С надежно сохраненным мастер-ключом вы всегда можете отозвать такие потерянные подключи и никогда не потерять свои подписи ключей.
Поэтому, хотя разделение подключей главного ключа <-> мне ясно, я не понимаю, почему этот акцент делается на разделении ключей подписи и шифрования (даже если они оба являются подключами). Может кто-нибудь объяснить, почему это необходимо, или, по крайней мере, в чем преимущество с точки зрения безопасности или практической перспективы?
Технически это вполне возможно и поддерживается GnuPG для создания подписи и шифрования подключа.
pub 2048R/YYYYYYYY created: 2013-08-13 expires: 2014-08-13 usage: SCEA
sub 2048R/VVVVVVVV created: 2013-08-13 expires: 2014-08-13 usage: SEA