Jika Anda membuat kunci GPG baru, secara default Anda akan mendapatkan pasangan kunci utama penandatanganan saja dan pasangan sub-kunci hanya enkripsi.
pub 2048R/XXXXXXXX created: 2013-02-09 expires: 2014-02-09 usage: SC
sec 2048R/XXXXXXXX 2013-02-09 [expires: 2014-02-09]
sub 2048R/ZZZZZZZZ created: 2013-02-09 expires: 2014-02-09 usage: E
ssb 2048R/ZZZZZZZZ 2013-02-09 [expires: 2014-02-09]
(Output digabungkan dari gpg --list-keys
dan gpg --list-secret-keys
)
Disarankan juga untuk tidak menggunakan kunci master Anda untuk penandatanganan biasa (dari surat / data), tetapi untuk membuat sub-kunci penandatanganan lain dan menghapus / mencadangkan kunci master Anda ke lokasi yang aman dan offline hanya untuk digunakan untuk penandatanganan kunci .
Ini masuk akal karena kebanyakan titik akhir enkripsi adalah laptop / telepon atau perangkat seluler lain yang selalu online, yang menempatkan kunci pribadi Anda dalam risiko pencurian atau kehilangan. Dengan kunci master yang disimpan dengan aman, Anda selalu dapat mencabut sub-kunci yang hilang tersebut dan tidak pernah kehilangan tanda tangan kunci Anda.
Jadi sementara pemisahan kunci utama <-> jelas bagi saya, saya tidak mengerti mengapa ada penekanan pada pemisahan tanda tangan dan kunci enkripsi (bahkan jika keduanya adalah kunci-kedua). Adakah yang bisa menjelaskan mengapa ini perlu atau setidaknya apa manfaatnya dari perspektif keamanan atau praktis?
Secara teknis itu sepenuhnya layak dan didukung oleh GnuPG untuk membuat sub-kunci penandatanganan DAN enkripsi.
pub 2048R/YYYYYYYY created: 2013-08-13 expires: 2014-08-13 usage: SCEA
sub 2048R/VVVVVVVV created: 2013-08-13 expires: 2014-08-13 usage: SEA