Dalla mia comprensione delle infrastrutture a chiave pubblica (PKI) una "autorità di certificazione radice" deve essere autofirmata e in grado di firmare altri certificati sotto di sé. Analogamente, anche la chiave principale offline descritta avrebbe bisogno degli stessi privilegi.
- Certifica (C) - la chiave primaria "chiave principale" DEVE essere una chiave capace di certificazione (quindi per sottochiave).
- Signing (S) - sarà richiesto per la "chiave master" per crittografare i dati (o le chiavi) con la sua chiave privata.
Da quello che ho derivato su CS sarà necessario che la chiave master funzioni in una capacità di una chiave master offline (PKI). Tuttavia, ulteriori letture mi hanno portato a un articolo di GnuPG Sottoscrizione della certificazione di sottochiave di firma . Il che delinea la "chiave master" non si auto-firma (come la nostra PKI), il che crea un punto debole "la sottochiave della firma non firma il primario per mostrare che è di proprietà del primario. Ciò consente a un utente malintenzionato di firmare sottochiave e collegarlo alla propria chiave ". Questo è ulteriormente discusso " GPG perché la mia chiave di fiducia non è certificata con una firma attendibile? "
Vedi anche " Quali azioni certifica la capacità di GnuPG permesso "
e " Anatomia di un tasto GPG "
Che delinea: "Certificazione contro firma - 'Firma' è un'azione contro dati arbitrari. 'Certificazione' è la firma di un'altra chiave.I ironia della sorte, l'atto di certificare una chiave è universalmente chiamato" key signing ". la contraddizione. "
Quindi, ti consiglio CS per il tuo utilizzo.