Subclaves
Los paquetes de subclaves se definen en RFC 4880, OpenPGP, 5.5 Key Material Packet . Solo se distinguen por otro ID de paquete, y requieren que una firma de enlace sea realmente útil (ver más abajo).
Un paquete de subclave pública (etiqueta 14) tiene exactamente el mismo formato que un paquete
Paquete de clave pública, pero denota una subclave.
Uso de subclaves
Las subclaves de OpenPGP se utilizan para diferentes propósitos:
- Poder almacenar la clave principal sin conexión o un dispositivo más seguro. Si una máquina con una subclave está dañada, puede revocar fácilmente la subclave sin todas las molestias de revocar su clave principal (compartir una nueva clave, obtener nuevas firmas, ...).
- Tener diferentes subclaves en diferentes máquinas, por ejemplo, una subclave de firma en un servidor de compilación. Una vez más, revocar teclas individuales es fácil.
- Usar una clave principal más grande para una larga vida útil y subclaves más cortas pero más rápidas para el uso diario.
- Algunos algoritmos no admiten el cifrado y la firma. Por ejemplo, una clave primaria DSA requiere otra clave para el cifrado, generalmente emparejado con ElGamal.
Firmas vinculantes
Hay subtipos de firmas especiales para vincular las subclaves a las claves primarias (y viceversa), que se enumeran en RFC 4880 , OpenPGP, 5.2.1 tipos de firma :
0x18: Firma de enlace de subclave
Esta firma es una declaración de la clave de firma de nivel superior que
Indica que posee la subclave. Se calcula esta firma
directamente en la clave principal y la subclave, y no en ninguna ID de usuario o
otros paquetes Una firma que vincula una subclave de firma DEBE tener
un subpaquete de firma incorporada en esta firma de enlace que
contiene una firma 0x19 hecha por la subclave de firma en el
clave principal y subclave.
0x19: Firma de enlace de clave principal
Esta firma es una declaración hecha por una subclave de firma, que indica
que es propiedad de la clave principal y la subclave. Esta firma
se calcula de la misma manera que una firma 0x18: directamente en la
clave principal y subclave, y no en ninguna ID de usuario u otros paquetes.