Quando ho inizialmente impostato PGP, PGPTools non mi ha richiesto di creare sottochiavi separate, come spiegato nell'articolo " Creazione di Perfect PGP Keypair ". Ora che ho imparato un po 'di più su PGP, mi piacerebbe passare all'utilizzo corretto delle sottochiavi. Ma non voglio che tutte le mie e-mail che ho firmato in precedenza non siano più valide. Qual è il modo corretto di passare ad avere più sottochiavi sotto il tasto principale mantenendo valide le comunicazioni precedenti?
Dovresti essere in grado di aggiungere le sottochiavi aggiuntive alla tua coppia di chiavi principale, lasciando intatte le chiavi principali. Non importa se le "chiavi master" sono state utilizzate per un po ', non devi generare nuove chiavi principali per aggiungervi delle sottochiavi.
Sei collegato all'articolo che di solito raccomando che descrive questo processo, di usare gpg --edit-key <key> e quindi addkey . Dopo aver generato le sottochiavi, nascondi la metà privata della chiave master in un posto sicuro e utilizza le sottochiavi (mostrandole solo per "occasioni speciali" come cantare le chiavi di altre persone, revocare o aggiungere nuovi UID o sottochiavi).
I don't want all of my emails which I signed previously to no longer be valid.
Questo non sarà un problema; le vecchie e-mail dovrebbero ancora apparire belle e firmate. L'unico modo in cui le vecchie e-mail firmate in precedenza possono diventare non valide è se la chiave master con cui le hai firmate viene revocata o scaduta. Finché le nuove chiavi di firma sono sottochiavi delle tue vecchie chiavi, qualsiasi cosa tu firmi con le sottochiavi verrà comunque visualizzata come firmata dalla "tua" chiave.
La crittografia, d'altra parte, potrebbe essere un po 'più complicata. Se in passato hai utilizzato la tua keypair master per la crittografia, sarai comunque in grado di decrittografare i tuoi vecchi messaggi, ma dovrai sempre estrarre la chiave segreta master dal suo posto sicuro ogni volta che lo fai.
Creerei una coppia separata. La prima chiave deve essere tenuta offline, o non c'è molto uso nell'avere sottosistemi .... anche se devi andare alla macchina offline per firmare le chiavi che ricevi da qualcun altro, quindi riportarle al sistema online.
Non ho incasinato un HSM personale (Yubikey), ma potrebbe essere in grado di alleviare il dolore.
Leggi altre domande sui tag key-management key-generation pgp gnupg