Jawaban sederhananya adalah: Anda tidak.
Kunci SSH dan kunci GnuPG (sebenarnya, OpenPGP) sama sekali berbeda, meskipun kedua protokol dapat menggunakan pasangan kunci RSA.
Dan selain itu, mengapa Anda ingin melakukannya? Bahkan jika Anda menggunakan bahan kunci yang sama untuk membuat kunci PGP Anda, Anda masih perlu mendistribusikan kunci Anda sebagai kunci PGP. Anda mungkin belum mendistribusikan kunci publik SSH Anda kepada orang-orang yang berkorespondensi dengan Anda, jadi dari sudut pandang distribusi kunci tidak ada perbedaan: mereka perlu menerima kunci publik dari Anda. Dan bahkan jika Anda telah mendistribusikan kunci publik SSH Anda kepada orang lain, mereka perlu mengambil beberapa langkah tambahan untuk dapat mengimpornya ke dalam implementasi OpenPGP mereka, yang mungkin atau mungkin tidak mudah.
Seperti yang ditunjukkan kasperd dengan cukup tepat, hanya ada satu cara untuk menafsirkan (khususnya) tanda tangan. Jika Anda menggunakan kunci yang sama untuk PGP dan SSH, jika seseorang dapat menipu Anda untuk menandatangani pesan yang dibuat khusus (yang merupakan kemampuan yang diasumsikan dalam serangan sistem tanda tangan tertentu) dalam satu, maka bahkan jika kedua sistem aman dalam isolasi itu mungkin dimungkinkan untuk menyusun pesan semacam itu dengan cara yang memiliki satu makna di salah satu sistem, tetapi makna yang berbeda di yang lain. Itu, dengan sendirinya, akan menjadi kerentanan. (Dapat dieksploitasi? Siapa yang tahu. Tapi mengapa mengambil risiko?)
Pasangan kunci PGP dan SSH adalah kunci jangka panjang, yang digunakan untuk mengamankan kunci simetris sesaat (pesan dan sesi), serta memverifikasi keaslian pesta jarak jauh. Itu membuat kunci pribadi PGP atau SSH target nilai yang jauh lebih tinggi untuk seorang penyerang daripada kunci simetris yang sesuai. Jika Anda menggunakan bahan kunci yang sama untuk keduanya, dan penyerang dapat menyadari hal itu, itu hanya meningkatkan nilai serangan yang berhasil pada pasangan kunci tersebut.
Tanpa melihat kedua protokol secara terperinci, saya membayangkan bahwa mengenali bahwa materi kunci yang sama sedang digunakan di kedua kemungkinan akan cukup sepele, karena kunci publik pada dasarnya ditransmisikan secara jelas.
Cukup buat kunci PGP baru. Jika Anda mau, buatlah RSA dan dengan panjang yang sama dengan kunci SSH Anda. (Tidak ada orang waras yang akan melihatnya lebih dekat daripada memverifikasi sidik jari.) Kemudian, bagikan kunci publik kepada orang yang ingin Anda korespondensi, sebagai kunci PGP. Ini akan jauh lebih mudah untuk semua orang, dan kemungkinan besar lebih aman, dengan biaya sejumlah kecil entropi dari kumpulan entropi acak sistem Anda yang harus dengan cepat diisi kembali.
Jika Anda memiliki beberapa kunci pada kunci rahasia Anda dan ingin menentukan yang mana yang harus digunakan secara default, gunakan default-key
dan mungkin default-recipient{,-self}
arahan dalam ~ / .gnupg / gnupg.conf Anda.