Si crea una nueva clave GPG, obtendrá de forma predeterminada un par de claves maestras de solo firma y un par de subclaves de solo cifrado.
pub 2048R/XXXXXXXX created: 2013-02-09 expires: 2014-02-09 usage: SC
sec 2048R/XXXXXXXX 2013-02-09 [expires: 2014-02-09]
sub 2048R/ZZZZZZZZ created: 2013-02-09 expires: 2014-02-09 usage: E
ssb 2048R/ZZZZZZZZ 2013-02-09 [expires: 2014-02-09]
(Salida combinada de gpg --list-keys
y gpg --list-secret-keys
)
También se recomienda no usar su clave maestra para la firma regular (de correos / datos), sino crear otra subclave de solo firma y eliminar / hacer una copia de seguridad de su clave maestra en una ubicación segura y fuera de línea solo para usarla para la firma de la clave .
Esto tiene sentido ya que la mayoría de los puntos finales de cifrado son computadoras portátiles / teléfonos u otros dispositivos móviles siempre en línea que ponen sus claves privadas en riesgo de robo o pérdida. Con una clave maestra almacenada de forma segura, siempre puede revocar esas subclaves perdidas y nunca perder sus firmas de clave.
Entonces, aunque la separación de la subclave de la clave maestra <-> es clara para mí, no entiendo por qué existe este énfasis en separar las claves de firma y cifrado (incluso si ambas son subclaves). ¿Alguien puede explicar por qué esto es necesario o al menos cuál es la ventaja desde una perspectiva práctica o de seguridad?
Técnicamente, es completamente factible y compatible con GnuPG para crear una subclave de cifrado y firma.
pub 2048R/YYYYYYYY created: 2013-08-13 expires: 2014-08-13 usage: SCEA
sub 2048R/VVVVVVVV created: 2013-08-13 expires: 2014-08-13 usage: SEA