Il formato dei messaggi OpenPGP descrive molti "messaggi" che sono la serializzazione di strutture che coinvolgono algoritmi crittografici. Alcuni di quei messaggi sono destinati a essere scambiati come e-mail; quando invii una "email firmata", devi usare la tua chiave privata. Il messaggio risultante (quello che va al server SMTP) non è influenzato dal modo in cui la suddetta chiave privata viene formattata quando è memorizzata su un supporto non transitorio. In questo senso, è possibile "utilizzare OpenPGP" (inviare e ricevere e-mail firmate e crittografate) senza dover memorizzare una chiave privata "protetta da password"; ciò che OpenPGP richiede è che un uso possa "possedere" una chiave privata e "ricordarla" per quantità di tempo non trascurabili. La chiave privata dovrebbe essere archiviata con un alto livello di riservatezza, poiché tale riservatezza è cruciale per l'intera sicurezza dello schema. La chiave privata dell'utente viene spesso memorizzata in un file, crittografato con una chiave simmetrica derivata da una password utente ("passphrase" in PGP-speak). Meno spesso, ma ugualmente valido, la chiave privata può essere memorizzata in un dispositivo antimanomissione come una smartcard e accessibile tramite un'API dedicata come PKCS # 11; Il supporto per PKCS # 11 esiste per GnuPG. Il modo in cui il dispositivo memorizza la chiave dipende dal dispositivo, ma raramente implica la crittografia con una chiave derivata da password.
OpenPGP anche definisce i formati dei messaggi per la memorizzazione di una chiave privata serializzata, in particolare con la crittografia simmetrica utilizzando una chiave derivata da una password. Pertanto, quando un'implementazione di OpenPGP desidera memorizzare una chiave privata come file con protezione tramite password, tende a utilizzare quel formato di messaggio specifico. L'utilizzo di questo formato consente il trasferimento di chiavi private ("key rings") tra implementazioni distinte.
Quindi, mentre la protezione tramite password della chiave privata non è un requisito obbligatorio per rivendicare il "supporto OpenPGP" per quanto riguarda i messaggi on-the-wire, è comunque raccomandato, e c'è un metodo "OpenPGP-approvato" di facendo quella protezione con password, che ha vantaggi di portabilità ed è seguita da effettive implementazioni.