28.01.2014
Die Verwendung eines Offline-Hauptschlüssels bringt es mit sich, dass es mit einigem Aufwand verbunden ist, die Schlüssel anderer zu zertifizieren. Da manche Anwendungen die Gültigkeit des verwendeten Zertifikats zwingend voraussetzen, kann man nicht immer so lange warten, bis man mal wieder den Offline-Hauptschlüssel verwenden kann.
Zur Entschärfung dieses Problems bietet es sich an, einen zusätzlichen Schlüssel zu erzeugen, der nicht für die Öffentlichkeit ist (und im Idealfall weder verschlüsseln noch signieren darf) und nur dafür verwendet wird, zur Überbrückung der Zeit (bis man die aufwendige Zertifizierung mit dem Offline-Hauptschlüssel nachholt) Zertifizierungen für andere Schlüssel zu erstellen: ein lokaler Zertifizierungsschlüssel.
Ein Zertifikat besteht aus genau einem Hauptschlüssel und eventuell einem oder mehreren Unterschlüsseln. Technisch unterscheiden sich diese beiden Kategorien nicht, abgesehen von der Einschränkung, dass der Hauptschlüssel in der Lage sein muss, Signaturen zu erstellen, was bei Verschlüsselungs-Unterschlüsseln nicht der Fall ist. Der Hauptschlüssel ist immer der erste Teil eines neuen Zertifikats, der erstellt wird, weil alles andere auf ihm aufbaut (d.h., von ihm unterschrieben werden muss).
Der aktuelle Standard (2014, GnuPG 2.0.22) ist ein RSA-Hauptschlüssel für Signaturen mit einem RSA-Unterschlüssel zur Verschlüsselung.
Ausgabe von gpg --edit-key lckey quit:
pub 1024R/0x4CFE6852 erzeugt: 2014-01-13 verfällt: niemals Aufruf: CA
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
[ uneing.] (1). lckey-lsign (nur für lokale Zertifizierungen)
Man sieht, dass der Schlüssel nur zertifizieren und authentifizieren kann; letzteres ist natürlich völlig sinnlos und nur dem Umstand geschuldet, dass GnuPG derzeit im Batch-Modus keine Schlüssel erzeugen kann, die nur zertifizieren dürfen. Interaktiv lässt sich das (mit --expert machen).
Offensichtlich ist es nur sinnvoll, mit so einem Schlüssel lokale (d.h. nichtexportierbare) Signaturen (--lsign-key) zu erzeugen. Leider kann man das nicht (etwa per Konfigurationsdatei) erzwingen. Es ist auch nicht sinnvoll, dass das Zertifikat dieses Schlüssels einen Namen oder eine E-Mail-Adresse enthält. Es bietet sich an, als Name lckey-lsign und als Kommentar nur für lokale Zertifizierungen zu verwenden.
Sowohl das Konzept als auch der Begriff lokaler Zertifizierungsschlüssel sind bisher nicht allgemein etabliert, sondern anscheinend vom Betreiber dieser Site eingeführt.