Plocka bort den privata huvudnyckeln
Nu är det dax att ta backup din keyring innan du fortsätter. Kopiera undan din nyckelring på tex. en USB-sticka, så du har en offline backup. Efter att backupen är klar, är det dax att exportera ut alla nyckelpar förutom den privata huvudnyckeln, som endast ska vara offline eller möjligen tillgänglig på den ”säkra” datorn.
bastion:~frpet1$ gpg --export-key A600AF4A > mykeys.public
bastion:~frpet1$ gpg --export-secret-subkey A00045A7 > mysubkeys.secret
Efter det går de bra att radera den privata huvudnyckeln från nyckelringen om man bara vill ha den offline.
bastion:~frpet1$ gpg --delete-secret-key A600AF4A
gpg (GnuPG) 1.4.12; Copyright (C) 2012 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
sec 4096R/A600AF4A 2012-06-04 Fredrik Pettai (exempel)
Delete this key from the keyring? (y/N) y
This is a secret key! - really delete? (y/N) y
Det här kommer radera alla de privata nycklarna dvs. även subnycklarna, så man måste importera alla subnycklarna igen från exporten som gjordes steget innan.
bastion:~frpet1$ gpg --import mysubkeys.secret
gpg: key A600AF4A: secret key imported
gpg: key A600AF4A: "Fredrik Pettai (exempel) " not changed
gpg: Total number processed: 1
gpg: unchanged: 1
gpg: secret keys read: 1
gpg: secret keys imported: 1
Kontrollera att den privata huvudnyckeln är bortplockad, genom att lista de privata nycklarna. Det kommer visas med en #(hash) efter sec om den privata nyckeln inte finns kvar i nyckelringen.
bastion:~frpet1$ gpg --list-secret-keys
/Users/frpet1/.gnupg/secring.gpg
--------------------------------
sec# 4096R/A600AF4A 2012-06-04
uid Fredrik Pettai (exempel)
ssb 4096g/0CA80FA9 2012-06-05
ssb 2048D/A00045A7 2012-06-05
Nu är är nyckelringen färdiga att exportera till en mindre säker dator, tex. en laptop som man har med sig på resor etc. och som man ansluter till Internet eller andra ”osäkra” (publika) nätverk.