¿Es mejor (más seguro ... menos confuso ...) hacer el signo de clave maestra (y certificar) solo, por ejemplo? al usar "RSA (solo firma)" ... o debo / debería hacer que firme (y certifique) y cifre, por ejemplo. RSA y RSA? ¿Sign & C-Only es más seguro o no importa?
Solo necesitas crear una clave de firma maestra. El propósito de la clave de firma maestra no es nada más que firmar otros pares de llaves que usas como subclaves. Debido a esto, no hay nada que necesite cifrar usando su clave maestra. Desde el punto de vista de la seguridad, no importa si crea una clave de cifrado maestra porque nunca la usará, pero es innecesario y un poco descuidado.
Definitivamente agregaré una subclave de cifrado, pero ¿debo / debo agregar una subclave de inicio de sesión también? ... ¿O podría simplemente usar la tecla maestra (llena)? (Quizás sería una molestia, pero digamos que rara vez firmé mis archivos / correos ...)
Usted debe también debe agregar una subclave de firma, ¡no solo una para el cifrado! El propósito de mantener una llave maestra fuera de línea es evitar usarla excesivamente en situaciones en las que podría ser robada. Firmar todo con su llave maestra de firma anula completamente el propósito de mantenerlo fuera de línea, incluso si usted firma las cosas raramente. El tiempo único que debe usar (o incluso acceder) a su clave maestra es cuando está generando nuevas subclaves y necesita firmarlas. Como tal, debe generar un par de llaves con subclaves de cifrado y de firma, y firmarlo utilizando la clave maestra.
Tenga en cuenta que puede obtener tarjetas inteligentes seguras que pueden almacenar su clave maestra en forma cifrada y firmar subclaves sin que tenga que poner la clave secreta en su computadora, simplemente conectando el dispositivo. Te sugiero que busques uno de esos para ayudarte a administrar tus claves.