从管理上说,建议你把主密钥的private key单独导出并且放在可信的位置,平时电脑里不存放主密钥的private key,只有子密钥的private key。只有在交叉签署时,才断网并生成签署。然后删除主密钥,再联网上传签署。
之所以如此保护主密钥是因为,主密钥一旦丢失,需要找所有签署过的人重新交叉签署。有上百个签署的经验就可以知道,这几乎是不可能的事。只能慢慢重新积累签署。
而subkey则不同,你可以随时生成吊销。其他人update一下你的pubkey就可以承认使用。这样你的电脑上日常使用就不需要主密钥了。因此主密钥丢失概率非常低。