新しいGPGキーを作成すると、デフォルトで署名のみのマスターキーペアと暗号化のみのサブキーペアが取得されます。
pub 2048R/XXXXXXXX created: 2013-02-09 expires: 2014-02-09 usage: SC
sec 2048R/XXXXXXXX 2013-02-09 [expires: 2014-02-09]
sub 2048R/ZZZZZZZZ created: 2013-02-09 expires: 2014-02-09 usage: E
ssb 2048R/ZZZZZZZZ 2013-02-09 [expires: 2014-02-09]
(からの合成出力gpg --list-keys
とgpg --list-secret-keys
)
また、(メール/データの)通常の署名にマスターキーを使用せずに、別の署名専用サブキーを作成し、キー署名にのみ使用する安全でオフラインの場所にマスターキーを削除/バックアップすることもお勧めします。
これは、ほとんどの暗号化エンドポイントがラップトップ/電話またはその他の常時オンラインのモバイルデバイスであり、秘密鍵を盗難または紛失の危険にさらすため、理にかなっています。安全に保存されたマスターキーを使用すると、失われたサブキーをいつでも失効させ、キー署名を失うことはありません。
そのため、マスターキー<->サブキーの分離は明確ですが、署名キーと暗号化キーを分離することに重点が置かれている理由はわかりません(両方がサブキーであっても)。なぜこれが必要なのか、少なくともセキュリティまたは実用的な観点からの利点は何かを誰かが説明できますか?
技術的には、署名と暗号化のサブキーを作成することは完全に実行可能であり、GnuPGによってサポートされています。
pub 2048R/YYYYYYYY created: 2013-08-13 expires: 2014-08-13 usage: SCEA
sub 2048R/VVVVVVVV created: 2013-08-13 expires: 2014-08-13 usage: SEA