私のPGPマスターキーに署名機能が必要ですか?

私のPGPマスターキーに署名機能が必要ですか?

PGPマスターキーが生成されると、その機能はデフォルトで証明書と署名(SC)に設定されます。ただし、後で署名サブキーを生成し、マスターキーをオフラインストアに削除したい場合。マスターキーに署名機能を渡すことはまだ良い習慣ですか?では、なぜそうなのでしょうか?

だからこれではなく

sec#  ed25519/0x0294CE5C 2021-06-09 [SC]
      F7062EDE4873F1290ED2B6FF8DAB03870294CE5C
uid           [ultimate] [email protected]
ssb   ed25519/0xF30B4B96 2021-06-09 [S]

私はこれを持つことができます

sec#  ed25519/0x0294CE5C 2021-06-09 [C]
      F7062EDE4873F1290ED2B6FF8DAB03870294CE5C
uid           [ultimate] [email protected]
ssb   ed25519/0xF30B4B96 2021-06-09 [S]

編集する:私が見つけたこのスレッドSO infosec は同じシナリオを議論します。最後に、信頼ネットワークを強化するためにマスターキー署名機能を使用することは私にとって良い習慣になることができます。 (例:他のユーザーキー署名)、電子メールの署名、コミットなどのマイナーな活動にサブキーを使用していますが、これは私の印象にすぎません。

答え1

主キーに必要なのは証明能力だけです。デフォルトでは、マスターキーには署名/確認機能がありますが、マスターキーに署名と暗号化に使用されるサブキーのみを確認するようにしても問題はありません。

edit-keyコマンドを使用して、メニューのホームキーから署名機能を削除し、change-usageS現在許可されているアクション」として「認証」のみが表示されるまで、署名機能をオンまたはオフにすることができます。Q完了したら、Enter キーを押し、Enter キーを押してsave変更を保存します。

関連情報