Penso di aver compreso il concetto di auto-firma in GPG leggendo la risposta a questo domanda . Tuttavia non mi è ancora chiaro come vengano assegnati i livelli di controllo.
Quando si pubblica gpg --check-sigs si può vedere l'elenco delle firme. uid è autofirmato e ha assegnato un livello di controllo 3 ( sig!3 ), il che significa che è stata eseguita una verifica approfondita della chiave. D'altra parte, le firme sulle sottochiavi non contengono alcun livello di controllo ( sig! ).
Perché è così?
I livelli di controllo dei certificati sono assegnati solo a uid , poiché sono pensati per collegare l'id con una chiave master specifica. In tal caso, una sottochiave dovrebbe essere convalidata seguendo il percorso sub-key > master key > uid ?
In tal caso, è anche vero che non posso mai distribuire la mia chiave pubblica secondaria separatamente dalla chiave pubblica principale stessa? Immagino uno scenario in cui potrei avere più chiavi di crittografia (è anche possibile?) Che distribuirei separatamente per scopi diversi.