Utilizzo GnuPG con un master offline + l'installazione della sottochiave online per un po 'di tempo. Tutte le mie e-mail sono firmate con la sottochiave di sola firma e la crittografia viene eseguita con la sottochiave di sola crittografia. Le sottochiavi sono 4096 bit. Questa configurazione funziona bene, ma volevo migliorare la sicurezza, quindi ho ottenuto un Yubikey Neo.
Poiché Yubikey supporta solo chiavi a 2048 bit, ho generato un'altra coppia di sottochiavi su una macchina sicura e le ho caricate su Yubikey. Ora ho due paia di crittografia e firma sottochiavi sul mio portachiavi. GnuPG utilizzerà automaticamente le sottochiavi più recenti, quindi la mia precedente serie di sottochiavi è fondamentalmente ridondante.
Tengo tutte le sottochiavi sul mio portachiavi offline principale, ma non voglio che ingombrino il portachiavi sui miei dispositivi portatili principali (laptop, ecc.). Il mio piano è anche quello di reimpostare spesso Yubikey (almeno una volta all'anno), quindi dovrò fare i conti con un elenco crescente di sottochiavi sostituiti.
Se qualcuno invia i dati crittografati a una delle mie vecchie sottochiavi, dovrò scavare il portachiavi offline per decrittografarlo. Questo è piuttosto un dolore e preferirei evitare di farlo.
Qual è la migliore strategia per interrompere l'uso di sottochiavi vecchie ma ancora senza compromessi? Revocarli? Imposta una data di scadenza breve e attendi che scadano?