Después de investigar sobre OpenPGP y las tarjetas inteligentes, llegué a un dilema. La configuración habitual que he visto más ampliamente es una clave maestra (con capacidades SC) y 3 subclaves (con S, E, A cada una):
pub 4096R/0E427716 created: 2016-01-15 expires: never usage: SC
trust: ultimate validity: ultimate
sub 2048R/49C9CBD7 created: 2016-01-15 expires: 2016-10-12 usage: S
sub 2048R/A7D84FFD created: 2016-01-15 expires: 2016-10-12 usage: E
sub 2048R/879F1ED3 created: 2016-01-15 expires: 2016-10-12 usage: A
Comprendo el concepto de mantener la clave maestra solo con el fin de firmar y certificar subclaves. El problema surge cuando se trata de escribir las claves en una tarjeta inteligente que solo tiene tres ranuras de claves / subclaves, ya que quiero escribir la clave maestra dentro de la tarjeta.
¿Funcionará y seguirá siendo seguro al agregar capacidad de autenticación a la clave maestra 0E427716 y luego escribirla en la tarjeta inteligente junto con solo dos subclaves (una para firmar 49C9CBD7 y otra para cifrar A7D84FFD)?
Para aclarar la imagen final en la tarjeta inteligente será:
pub 4096R/0E427716 created: 2016-01-15 expires: never usage: SCA
sub 2048R/49C9CBD7 created: 2016-01-15 expires: 2016-10-12 usage: S
sub 2048R/A7D84FFD created: 2016-01-15 expires: 2016-10-12 usage: E
Mantendré tres tarjetas inteligentes de respaldo en lugares seguros, así que no te preocupes, no hay forma de perder la llave maestra.