यदि आप एक नई GPG कुंजी बनाते हैं, तो आप डिफ़ॉल्ट रूप से केवल-हस्ताक्षरित मास्टर कुंजी जोड़ी और एन्क्रिप्शन-केवल उप-कुंजी जोड़ी प्राप्त कर सकते हैं।
pub 2048R/XXXXXXXX created: 2013-02-09 expires: 2014-02-09 usage: SC
sec 2048R/XXXXXXXX 2013-02-09 [expires: 2014-02-09]
sub 2048R/ZZZZZZZZ created: 2013-02-09 expires: 2014-02-09 usage: E
ssb 2048R/ZZZZZZZZ 2013-02-09 [expires: 2014-02-09]
(आउटपुट संयुक्त gpg --list-keys
और gpg --list-secret-keys
) से
नियमित हस्ताक्षर (मेल / डेटा) के लिए अपनी मास्टर कुंजी का उपयोग न करने की भी सिफारिश की जाती है, लेकिन एक अन्य हस्ताक्षर-केवल उप-कुंजी बनाने और अपने मास्टर कुंजी को एक सुरक्षित और ऑफ़लाइन स्थान पर निकालने के लिए केवल कुंजी-हस्ताक्षर करने के लिए उपयोग किया जाता है ।
यह समझ में आता है क्योंकि अधिकांश एन्क्रिप्शन एंडपॉइंट्स लैपटॉप / फोन या अन्य हमेशा ऑनलाइन होते हैं, मोबाइल डिवाइस जो आपकी निजी चाबियों को चोरी या नुकसान के जोखिम में डालते हैं। सुरक्षित रूप से संग्रहीत मास्टर कुंजी के साथ, आप हमेशा ऐसी खोई हुई उप-कुंजियों को रद्द कर सकते हैं और कभी भी अपने मुख्य हस्ताक्षर ढीले नहीं कर सकते।
इसलिए जब मास्टर-कुंजी <-> उप-कुंजी पृथक्करण मेरे लिए स्पष्ट है, तो मुझे समझ में नहीं आता है कि हस्ताक्षर और एन्क्रिप्शन कुंजी को अलग करने पर जोर क्यों है (भले ही वे दोनों उप-कुंजी हों)। क्या कोई समझा सकता है कि यह क्यों आवश्यक है या कम से कम सुरक्षा या व्यावहारिक दृष्टिकोण से क्या लाभ है?
तकनीकी रूप से यह पूरी तरह से संभव है और एक हस्ताक्षर और उप-कुंजी एन्क्रिप्ट करने के लिए GnuPG द्वारा समर्थित है।
pub 2048R/YYYYYYYY created: 2013-08-13 expires: 2014-08-13 usage: SCEA
sub 2048R/VVVVVVVV created: 2013-08-13 expires: 2014-08-13 usage: SEA