Desde diferentes fuentes he visto que el único propósito de la clave maestra debería ser generar las subclaves, y que luego se debe hacer una copia de seguridad en una ubicación fuera de línea y eliminar del dispositivo en el que se generó. ¿Por qué sucede eso? Simplemente no entiendo la razón para tener tanto el maestro como las subclaves ya que, en última instancia, todos están asociados con la misma frase de contraseña.
La clave principal, y solo la clave principal puede realizar operaciones de administración de claves (agregar y eliminar ID de usuario, subclaves, ...) y emitir certificaciones en otras claves. Almacenar la clave principal secreta sin conexión proporciona seguridad adicional contra el uso indebido de aquellas operaciones especialmente sensibles.
Además, la clave principal es el destino de las certificaciones entrantes de otras claves. Si tiene que revocar una subclave porque se vio comprometida (la computadora fue pirateada, problemas como el DSA y el error del generador de números aleatorios que tuvo Debian), reinicia su subclave y todo está bien (al menos, para mensajes cifrados / firmados en el futuro). Todo lo que deben hacer tus contactos es recuperar la clave actualizada de los servidores de claves que ejecutan gpg --recv-keys <key-id> . Si tiene que revocar su clave principal, pierde todas las certificaciones de esa clave: se pierde toda la confianza en esa clave, tendrá que comenzar a distribuir de nuevo su clave y firmarla.