子密钥, 和主密钥绑定的密钥对. 它不麻烦, 很有用. 而且, 你已经在用了.

按照默认规则生成一个新密钥对, 在GnuPG控制台下list, 会有类似这样的输出:

pub  4096R/12345FOO  created: 2001-01-01  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/54321BAR  created: 2001-01-01  expires: never       usage: E

可以看到, 新生成的密钥包含一个主密钥, 作用是签名, 而且还包含一个子密钥, 作用是加密.

使用子密钥的好处在于能够更换签名或者加密密钥, 而不破坏主密钥的关系网络和Key ID. 除了默认生成的用来加密的子密钥外, 你还可以添加更多的子密钥, 用来签名或者用来加密. 它们的公钥会随着主密钥的公钥发布, 方便其他人验证或者加密.

ref:
1, http://www.gnupg.org/gph/en/manual.html
2, http://wiki.debian.org/subkeys