Para todos los propósitos prácticos, los certificados X.509 y los pares de claves OpenPGP viven en mundos separados. Necesita un certificado X.509 para interoperar con personas / sistemas que usan certificados X.509. Necesita un par de claves OpenPGP para intercambiar correos electrónicos seguros con personas que usan OpenPGP. Si quieres hacer ambas cosas, necesitas ambas.
Una idea clave es que tales claves no tienen sentido . En cierto sentido. Un certificado X.509, o una clave pública OpenPGP firmada (el mismo concepto), vincula una clave pública a una identidad . ¿Cuál es su identidad ? Si lo miras de cerca, encontrarás que tienes varios. Legalmente, usted es un ciudadano (o sujeto) de algún país, y uno de los monopolios de los gobiernos centrales es definir las identidades de las personas que están bajo su alcance nominal. Pero ese gobierno no es el que emite su certificado X.509, y mucho menos firma su clave OpenPGP. Además, dudo mucho que su tarjeta de identificación oficial / pasaporte / permiso de conducir / lo que sea que lleve el nombre "scuzzy-delta".
De hecho, con Web of Trust de OpenPGP, su identidad es dirigida por la comunidad : Usted tiene como nombre cualquier valor que otras personas consideren convincente. Depende de la comunidad, y perfectamente podría tener varias identidades de este tipo (muchas personas tienen una "dirección de correo electrónico personal" y una "dirección de correo electrónico comercial"). En cuanto a los certificados X.509, su identidad es controlada por procedimientos : es lo que se verifica implícitamente mediante el proceso mediante el cual la CA "determina su identidad" (algunas CA, para algunos certificados, solo verifican que usted controla una dirección de correo electrónico).
En estas condiciones, tiene poco sentido mantener un certificado X.509 y / o un par de claves OpenPGP "genéricamente". Debes tener las claves para un propósito . Por ejemplo, es posible que desee un par de claves OpenPGP para que las personas puedan intercambiar correos electrónicos cifrados con su persona "scuzy-delta" . O un certificado X.509 con el nombre y la dirección que usted estaría de acuerdo en mostrarle a los académicos más veteranos (o, para el caso, a su madre). O tal vez un certificado cuyo propósito es autenticar sus conexiones con alguna VPN.