生成 PGP 主密钥时,其功能默认为证书和签名 (SC)。但是,如果我稍后要创建签名子密钥并将主密钥剥离到离线存储中。让主密钥携带签名功能仍然是一种好的做法吗?如果是这样,为什么?
所以而不是这个
sec# ed25519/0x0294CE5C 2021-06-09 [SC]
F7062EDE4873F1290ED2B6FF8DAB03870294CE5C
uid [ultimate] [email protected]
ssb ed25519/0xF30B4B96 2021-06-09 [S]
我可以有这个
sec# ed25519/0x0294CE5C 2021-06-09 [C]
F7062EDE4873F1290ED2B6FF8DAB03870294CE5C
uid [ultimate] [email protected]
ssb ed25519/0xF30B4B96 2021-06-09 [S]
编辑:我发现这个线程SO infosec 讨论了相同的场景。最后,对我来说,使用主密钥签名功能来加强信任网络可能是一个很好的做法 (即:签署其他用户密钥),同时使用您的子密钥进行一些琐碎的活动,例如签署电子邮件、提交等。不过,这只是我的印象。
答案1
主键所需要的只是证明能力。默认情况下,主密钥具有签名/验证功能,但让主密钥仅验证用于签名和加密的子密钥是完全可以的。
edit-key您可以使用命令从菜单的主键中删除签名功能change-usage,然后输入S以关闭/打开签名功能,直到它仅显示“认证”作为“当前允许的操作”。Q完成后回车,然后回车save保存更改。