He estado leyendo acerca de los beneficios de usar subclaves OpenPGP para diferentes máquinas. Obviamente, es una práctica mucho más segura que copiar alrededor de la misma clave maestra entre varias máquinas (especialmente computadoras portátiles).
Estoy planeando migrar a la forma "una subclave por máquina" de administrar las claves OpenPGP como se describe aquí: enlace
Las instrucciones son bastante claras si está configurando la firma OpenPGP desde cero . Sin embargo, he estado usando una clave rsa2048 ( DB746BD8
) durante varios años, e idealmente me gustaría mantener la confianza y la identidad asociada a ella. ¿Hay alguna guía (reciente) de mejores prácticas que explique una situación como esta? Por ejemplo, ¿tiene sentido (es decir, agrega seguridad) generar subclaves de 4096 bits con una clave maestra rsa2048? ¿Sería mejor generar una nueva clave primaria rsa4096? ¿O algo completamente diferente?
EDIT
Alguna información adicional sobre mi clave / situación particular:
- La clave se usó principalmente para la firma de confirmación Git: no creo que se haya utilizado nunca para el cifrado, ni se haya cargado en un servidor de claves.
- La única vez que se "publicó" fue cuando se cargó en el sitio web de GitHub, como se describe aquí .
- La clave no ha sido certificada / firmada por nadie.
Mi objetivo es descubrir la configuración de PGP / GPG para el medio a largo plazo , y hasta ahora el plan tiene este aspecto:
- Decida la clave principal a usar
- Mantener la clave primaria rsa2048 existente
DB746BD8
- Generar una nueva clave principal (por ejemplo, rsa4096, ecdsa)
- Mantener la clave primaria rsa2048 existente
- Generar y distribuir nuevas subclaves
- Subir clave a los servidores de claves
- Utilícelo potencialmente para el cifrado, para firmar las claves de otras personas, etc.
La pregunta principal es si debo ir con 1.1. o 1.2. - especialmente teniendo en cuenta que después de seguir 2. 3. y 4., podría ser más difícil cambiar más adelante a una nueva clave (?).