Ochrona Twojego klucza prywatnego jest podstawowym warunkiem bezpieczeństwa Twoich danych. Równie dobrze należy pilnować zabezpieczającego go hasła. Jeśli zdarzy się że twój klucz prywatny dostanie się w niepowołane ręce, lepiej bez zwłoki zawiadom wszystkich (życzę szczęścia...) zainteresowanych o tym przykrym zdarzeniu. Jeśli będą dalej, nieświadomi, używać Twojego klucza publicznego to na ujawnienie narażone będą wysyłane do Ciebie listy, a każda opatrzona Twoim nazwiskiem sygnatura będzie z dużym prawdopodobieństwem fałszywa. Niebezpieczeństwo jest jeszcze większe, jeśli Twój klucz cieszył się powszechnym zaufaniem.
Podstawą bezpieczeństwa klucza prywatnego jest posiadanie pełnej fizycznej kontroli nad nim. Klucz prywatny będzie stosunkowo bezpieczny, jeśli będziesz go przechowywał na domowym komputerze, lub notebooku noszonym przy sobie. Na duże niebezpieczeństwo naraża go natomiast przechowywanie na włączonym do sieci, wielodostepnym komputerze. Przy zdalnej pracy z terminala wcale nietrudne do zrealizowania jest przechwycenie hasła odblokowującego klucz, a nastepnie kradzież samego klucza. Jeśli musisz uzywać PGP na takim komputerze, na przykład w pracy, najlepszym rozwiązaniem będzie przechowywanie go na zabezpieczonej przed zapisem dyskietce zawsze noszonej ze sobą.
Hasło zabezpieczające klucz prywatny nigdy nie powinno być przechowywane razem z kluczem. Miałoby to taki sens jak noszenie przy kluczach od mieszkania breloczka z adresem. Najlepszym jednak sposobem uchronienia hasła przed ujawnieniem jest nie zapisywanie go nigdzie, poza własnym mózgiem ;). Jesli masz zbyt wiele rzeczy na głowie, by dodatkowo pamiętać wymyślne hasło i musisz go gdzieś zapisać, to przechowuj go w maksymalnie bezpiecznym miejscu. Bezpieczeństwo hasła jest nawet ważniejsze niż samego klucza.
Zawsze rób kopie bezpieczeństwa kluczy. Pamiętaj że jesteś jedyną osobą posiadającą tę parę kluczy. Utrata klucza prywatnego (w tym utrata hasła) czyni bezwartościowymi wszytkie kopie Twojego klucza publicznego znajdujące sie na świecie.
Zdecentralizowany charakter PGP oznacza również, że nie należy za bardzo wierzyć w istnienie i funkcjonalność jakiejś centralnej listy utraconych bądź odtajnionych kluczy. Jedynym sposobem powiadomienia innych użytkowników o takim zdarzeniu jest rozesłanie wieści o tym na wszystkie strony świata i liczenie że dotrze ona do zainteresowanych.