Is it better (safer... less confusing...) to make the Master-key Sign (and Certify) only - eg. by using "RSA (sign only)"... or must/should I make it both Sign (and Certify) and Encrypt - eg. RSA and RSA ? Is Sign&C-Only more secure or doesn't it matter?
Devi solo creare una chiave di firma principale. Lo scopo della chiave di firma principale non è altro che firmare altri keypair che usi come sottochiavi. Per questo motivo, non è necessario crittografare con la chiave master. Per quanto riguarda la sicurezza, non importa se crei una chiave di crittografia master perché non la userai mai, ma è inutile e di tipo sciatto.
I'll definitively add an Encryption sub-key - but should/must I add a Sign sub-key too? ...Or could I just use the (full!) Master-key too sign stuff? (It would be a bother perhaps, but lets say I very rarely signed my files/mails...)
Devi fare aggiungere anche una sottochiave per la firma, non solo una per la crittografia! Lo scopo di mantenere offline una chiave master è di evitare di usarlo eccessivamente in situazioni in cui potrebbe essere rubato. La firma di tutto con la chiave di firma principale vanifica completamente lo scopo di mantenerla offline, anche se si firmano le cose solo raramente. L'ora solo che dovresti mai usare (o persino accedere) alla tua chiave principale è quando stai generando nuove sottochiavi e devi firmarle. Pertanto, è necessario generare una coppia di chiavi con crittografia e firma delle sottochiavi e firmare utilizzando la chiave master.
Tieni presente che esistono delle smart card sicure che puoi memorizzare la tua chiave master in un formato crittografato e firmare le sottochiavi senza che tu debba mai inserire la chiave segreta sul tuo computer, semplicemente collegando il dispositivo. Ti suggerisco di esaminare uno di questi per aiutarti a gestire le tue chiavi.