El formato de mensaje OpenPGP describe muchos "mensajes" que son la serialización de estructuras que involucran algoritmos criptográficos. Algunos de esos mensajes deben intercambiarse como correos electrónicos; cuando envía un "correo electrónico firmado", debe usar su clave privada. El mensaje resultante (el que va al servidor SMTP) no se ve afectado por el formato de dicha clave privada cuando se almacena en un medio no transitorio. En ese sentido, puede "usar OpenPGP" (enviar y recibir correos electrónicos firmados y encriptados) sin tener que almacenar una clave privada "protegida por contraseña"; Lo que requiere OpenPGP es que un uso puede "poseer" una clave privada y "recordarla" por un tiempo no trivial. La propia clave privada debería almacenarse con un alto nivel de confidencialidad, ya que dicha confidencialidad es crucial para toda la seguridad del esquema. La clave privada del usuario a menudo se almacena en un archivo, cifrada con una clave simétrica derivada de una contraseña de usuario ("frase de contraseña" en lenguaje PGP). Con menos frecuencia, pero igualmente válida, la clave privada puede almacenarse en un dispositivo a prueba de manipulaciones, como una tarjeta inteligente, y acceder a través de una API dedicada como PKCS # 11; existe soporte para PKCS # 11 para GnuPG. La forma en que el dispositivo almacena la clave depende del dispositivo, pero rara vez implica el cifrado con una clave derivada de contraseña.
OpenPGP también define formatos de mensajes para almacenar una clave privada serializada, en particular con cifrado simétrico usando una clave derivada de una contraseña. Por lo tanto, cuando una implementación de OpenPGP desea almacenar una clave privada como un archivo con protección de contraseña, tiende a usar ese formato de mensaje específico. El uso de este formato permite transferir claves privadas ("conjuntos de claves") entre distintas implementaciones.
Por lo tanto, si bien la protección con contraseña de la clave privada no es un requisito obligatorio para reclamar el "soporte OpenPGP" en lo que respecta a los mensajes en línea, todavía se recomienda, y existe una forma de "aprobado por OpenPGP" haciendo esa protección de contraseña, que tiene beneficios de portabilidad y es seguida por implementaciones reales.