Cosa posso fare con la chiave master rimossa?

L'idea dietro una chiave primaria (master) OpenPGP offline è che un utente malintenzionato che accede al tuo computer non sarà in grado di eseguire operazioni di gestione delle chiavi (creazione / revoca di nuovi ID utente e sottochiavi, revoca la tua chiave, che certifica le chiavi degli altri). Inoltre, la chiave primaria è l'obiettivo delle certificazioni tra le chiavi: se la perdi (devi revocarla), perdi tutte le connessioni nella rete della fiducia. La chiave privata primaria è l'entità più importante in OpenPGP e dovrebbe essere protetta di conseguenza. Rimuovendo la chiave privata primaria, riduci l'esposizione della chiave ai possibili attacchi, come durante il tempo in cui l'utente malintenzionato ha accesso a il computer.

Alcune persone vanno ancora oltre e mettono la chiave privata primaria su una macchina separata, dedicata, non connessa a nessuna rete, che impedisce ulteriormente gli attacchi a questo computer con aria compressa.

If I just remove the secret-masterkey and my PC gets stolen or something, then what can I actually do with only the secret-masterkey? I think I can revoke the subkeys, but can I create a new public-key and public-subkeys with the secret-key?

Non c'è motivo di non mettere una chiave pubblica accanto alla chiave privata. Infatti, lo standard OpenPGP non considera nemmeno le chiavi private senza le chiavi pubbliche memorizzate insieme (le smart card OpenPGP sono un eccezione qui). Assicurati anche di avere un backup della chiave privata, ovviamente (che dovrebbe essere tenuta separatamente, ma con lo stesso livello di sicurezza della chiave privata stessa)!

Or: is the idea doing a backup of the ~/.gnupg folder and removing the secret masterkey from the PC afterwards? So in case the PC gets stolen I still have all the keys for revocation?

Questo sembra il modo più ragionevole per andare, ma mantenere il backup sicuro. Se il PC viene rubato / compromesso / ..., puoi comunque revocare la chiave primaria stessa o solo ruotare le sottochiavi (che è molto più facile da gestire in termini di gestione delle chiavi).

Per conto mio ho creato la chiave primaria sul mio vecchio portatile, che è anche usato per creare le sottochiavi e le ha tutte. Questo vecchio laptop ha la chiave segreta importata e pronta per l'uso nel portachiavi GnuPG, ma non viene utilizzata per altri lavori, ma per la gestione delle chiavi e le certificazioni. Per le macchine ad uso quotidiano, esporto le rispettive sottochiavi segrete come richiesto.

Una chiave di revoca è prontamente disponibile in diversi posti, tra cui il mio laptop quotidiano. La cosa peggiore che potrebbe accadere è che la chiave venga revocata, ma non è possibile eseguire ulteriori danni mentre io ho una protezione aggiuntiva contro la perdita della chiave privata primaria senza poterlo revocare sui server delle chiavi.

La tua seconda idea è quella giusta. Generalmente devi eseguire il backup di tutti i tuoi dati importanti e le tue chiavi di GnuPG sono sicuramente importanti.

L'idea non è di mantenere solo la chiave principale, ma di assicurarti che un utente malintenzionato non sia in grado di ottenere la chiave master mentre sei ancora in grado di svolgere la tua attività quotidiana con GnuPG su quella macchina.

Non appena la chiave master viene compromessa, è necessario iniziare a zero, generare una nuova chiave, ottenere nuove firme e così via. D'altra parte, se vengono compromesse solo le tue sottochiavi, puoi revocarle e generarne di nuove, mantenendo le firme sulla tua chiave principale.