我使用 gpg 创建了密钥对。我知道会生成一个仅用于签名的主密钥和一个仅用于加密的子密钥。按照Debian 维基,为了更加安全,我创建了一个子密钥用于签名,并将我的主密钥埋在了森林里。
但是,我不知道该公开什么以及如何告诉人们使用我的子密钥进行验证。首先,我已将我的密钥上传到 subkeys.pgp.net。但我看到人们在他们的网站上公开指纹,但我是否应该对我的两个签名密钥都这样做,并将其中一个标记为主密钥,另一个标记为子密钥?
答案1
分享您的完整公钥,其中包括公钥主钥、公钥子钥、用户 ID 和认证(以及一些进一步的特殊数据包)。
为了获得密钥认证(或在您的网站上宣传密钥的使用),您唯一需要交换的就是主密钥的指纹。签名是在用户 ID 和主密钥对上签发的,子密钥根本不参与认证过程。
当有人想要使用您的密钥并下载它时,他的(邮件)应用程序将自动选择一个加密密钥(通常是最新的) - 在您的情况下是子密钥。
主密钥用于密钥管理,包括共享;子密钥用于“日常使用”:签名、加密、身份验证。