Translations:Concepts/OpenPGP Getting Started/14/de
Die meisten OpenPGP-Schlüssel haben mindestens einen Unterschlüssel (alle haben genau einen Hauptschlüssel). Sie brauchen sich normalerweise nicht um diesen Unterschied zu kümmern; Ihre Anwendung (oder genauer: die Basisanwendung, typischerweise GnuPG) wählt automatisch die richtige Schlüsselkomponente aus. Der Hauptschlüssel ist derjenige, auf den sich der Fingerprint bezieht, und nur nur er kann zertifizieren: die eigenen Unterschlüssel und User-IDs sowie die User-IDs anderer Schlüssel. Die Unterschlüssel können alles andere (vor allem entschlüsseln und signieren), wenn man sie entsprechend konfiguriert. Der Grund dafür, dass der Unterschied zwischen Haupt- und Unterschlüsseln hier angesprochen wird, ist, dass er für die Schlüsselerzeugung sehr wichtig ist: Man kann den geheimen Hauptschlüssel von den geheimen Unterschlüsseln trennen (mit GnuPG ist das möglich; es ist nicht Teil des OpenPGP-Standards!). Die Unterschlüssel können später ersetzt werden, der Hauptschlüssel nicht (das wäre dann ein neuer Schlüssel, nicht bloß ein modifizierter). Deshalb kann man einen Hauptschlüssel durchaus für "immer" (20 Jahre) verwenden, wenn man ihn bei der Schlüsselerzeugung sowohl mit einer kryptografisch sicheren Passphrase schützt als auch ihn als Offline-Hauptschlüssel abtrennt und anschließend zumindest die Passphrase sicher speichert und den Hauptschlüssel nur in sicheren Umgebungen verwendet. Das ist auch für Alltagsschlüssel wichtig. Hochsicherheitsschlüssel haben weniger Bedarf an dieser Trennung (brauchen üblicherweise gar keine Unterschlüssel). Sie sollten für jede Aktion einen eigenen Unterschlüssel erzeugen: für Signaturen, für Entschlüsselungen und bei Bedarf auch für Authentifizierung (SSH).