3.1 什么是 stub key#

当子密钥被移动到 YubiKey 后：

• 本地 不再保存子密钥私钥
• GPG 在本地将仅保留一个 stub key（占位引用）
• 所有实际操作通过 USB 与硬件交互完成

stub key 的作用是：

• 告诉 GPG：该子密钥存在
• 指明：私钥位于某个 OpenPGP Card（YubiKey）

3.2 stub key 的安全特性#

• 不包含任何可用于恢复私钥的材料
• 可安全复制到其他设备
• 丢失 stub key ≠ 丢失私钥（可通过重新导入公钥并连接 YubiKey 重新建立引用）

4.1 进入密钥编辑模式#

1
gpg --edit-key <KEYID>

4.2 选择并移动子密钥#

1
gpg> key 1        # 选择子密钥（S / E / A）
2
gpg> keytocard    # 写入 YubiKey

根据提示选择：

• Signature key
• Encryption key
• Authentication key

完成后：

• 子密钥私钥仅存在于 YubiKey
• 本地仅保留 stub key

4.3 验证状态#

1
gpg --card-status

应能看到：

• Card Serial Number
• Signature / Encryption / Authentication key 信息

5.1 删除本地私钥#

1
gpg --delete-secret-keys <KEYID>

前提条件：

• 已确认子密钥成功写入 YubiKey
• 主密钥已完成离线备份

删除后：

• 本地不再持有任何可用私钥
• 所有操作必须插入 YubiKey 才能完成

5.2 导出本地公钥#

当子密钥被移动到 YubiKey 后，公钥数据将发生变化，内部会记录对应 OpenPGP Card 的序列号信息
因此，应在完成 keytocard 操作后重新导出并发布公钥，以确保其他设备或他人能够正确识别硬件密钥位置

7.1 可以备份的#

• 主密钥私钥（离线）
• 子密钥私钥（仅限迁移到硬件之前，且迁移后 gpg 将会拒绝再次导入子密钥私钥）
• 公钥 / stub key

7.2 无法备份的#

• 已写入 YubiKey 的私钥
• YubiKey 内部生成或迁移后的私钥

一旦YubiKey 损坏，且没有迁移前的私钥备份，那么对应子密钥将 永久不可恢复