Creo que entiendo el concepto de autofirma en GPG al leer la respuesta a esta question . Sin embargo, aún no está claro cómo se asignan los niveles de verificación.
Al emitir gpg --check-sigs , se puede ver la lista de firmas. uid son autofirmados y tienen asignado un nivel de verificación de 3 ( sig!3 ), lo que significa que se realizó una verificación exhaustiva de la clave. Por otro lado, las firmas en las subclaves no contienen un nivel de verificación ( sig! ).
¿Por qué es eso?
¿Los niveles de verificación de certificado solo se asignan a uid , ya que están destinados a vincular el ID con una clave maestra dada. En ese caso, ¿se validaría una subclave siguiendo la ruta sub-key > master key > uid ?
En ese caso, ¿también es cierto que nunca puedo distribuir mi clave pública secundaria por separado de la propia clave pública maestra? Imagino un escenario en el que podría tener varias claves de cifrado (¿es eso incluso posible?) Que distribuiría por separado para diferentes propósitos.