Ako sme spomenuli vyššie, mnohé implementácie PGP automaticky vytvárajú podkľúče s odlišným použitím. Štandardne pri vytváraní nového kľúčového páru dostaneme:
Primárny kľúč teda predstavuje našu identitu. Môžeme ním vytvárať a zneplatňovať ďalšie podkľúče. Preto potrebujeme chrániť jeho súkromnú časť. Jednou z možností je vytvoriť si sadu kľúčov pre bežné použitie, ktorú si môžeme nahrať na všetky naše zariadenia. Vytvoríme druhý podkľúč a priradíme mu podpisové právo. Primárny kľúč si bezpečne zálohujeme a v bežnej sade kľúčov z neho odstránime súkromnú časť. Tak získame túto sadu kľúčov:
V prípade úniku takejto sady útočník nemôže vytvárať a zneplatňovať podkľúče, meniť ich dobu expirácie, vytvárať revokačné certifikáty, ani certifikovať kľúče iných ľudí. My však vieme uniknuté kľúče zneplatniť a vytvoriť si nové. Klient Kleopatra, ktorým sa budeme nižšie zaoberať, k januáru 2019 takéto sady kľúčov vytvárať nedokázal, no cez konzolu si vieme vlastnú sadu vytvoriť priamo cez nástroj GPG/GPG2. Návod nájdete nižšie, alebo aj napríklad tu a tu.
Vhodnou formou ochrany kľúčového páru je nastavenie doby expirácie. Ak by sa útočník dostal k podkľúču, tento bude zneplatnený po uplynutí expiračnej doby. Dobu expirácie je možné predlžovať len s použitím súkromnej časti primárneho kľúča. Tiež v prípade, že stratíte prístup ku svojmu kľúču, je vhodné, aby bol po istom čase automaticky zneplatnený.
Dôležitým bezpečnostným prvkom PGP kľúčov je heslo (passphrase). Ak sa útočník dostane k súkromnému kľúču obete, má zatiaľ v rukách len jeho zašifrovanú podobu. Používanie silného hesla môže zamedziť úspešnému zneužitiu kľúča, nakoľko techniky ako brute-force, či slovníkový útok, sú voči nemu neefektívne. Pre vytvorenie silného hesla odporúčame aplikovať všeobecné „best practices“. Z bezpečnostného hľadiska je vhodné heslo neukladať do e-mailového klienta, ale radšej ho pri každom použití kľúča ručne vypísať.
Návody ku jednotlivým službám štátneho IT môžeš odteraz využívať aj prostredníctvom mobilnej aplikácie.
