Tengo una clave de identidad maestra (que se separa de mi conjunto de claves de uso diario) y las subclaves de cifrado y firma (todas son RSA).
Firmo documentos con la subclave de firma: GnuPG selecciona esta clave automáticamente de mi llavero secreto de uso diario (posiblemente) porque la clave maestra no está presente.
No estoy seguro de si debo usar la clave maestra o la subclave de firma cuando quiero certificar la clave pública de otra persona.
Me parece que aumentaría el riesgo de comprometer la clave maestra si la utilizo para la certificación cada vez que obtengo, importe y verifique la clave pública de un corresponsal (aunque las claves privadas maestras y de uso diario son solo utilizada en una máquina no conectada a la red, creo que debería limitar la exposición de la clave maestra).
Por otro lado, si hago certificaciones con la subclave de firma y luego me veo forzado a revocar esa clave, todas las certificaciones deberán repetirse con una nueva clave de firma (ciertamente aquellas certificaciones que se hicieron con --sign-key
como a diferencia de --lsign-key
).
¿Es esta una compensación que debo decidir por mí mismo o está claro que debo usar una u otra clave?