Geralmente, as chaves são validadas no OpenPGP através da rede de confiança. Esta é uma rede que consiste em diferentes chaves e certificações emitidas entre elas. Seguindo esses caminhos (chamados caminhos de confiança), você pode estender o conjunto de chaves que você confia.
Você sempre precisa de algum tipo de âncora de confiança: você precisa ter certeza sobre alguma (s) chave (s), que você já validou. Muitas vezes, isso é feito em conferências que hospedam os principais assinantes. Você também pode confiar em alguns servidores (por exemplo, com base na criptografia de transporte), mas isso é exatamente o que você tenta não fazer.
Além da confiança explícita, há também o conceito de "TOFU": confiança no primeiro uso . Um invasor dificilmente será capaz de fornecer pacotes de software manipulados em diferentes canais de distribuição e por um longo período. Tente encontrar fontes da chave que você já está usando (por exemplo, em uma distribuição do Linux que você pegou há anos ou em DVDs antigos de revistas de informática). Há cópias hospedadas em algum tipo de repositório de software que não esteja sob controle direto do projeto original? O archive.org está listando a chave OpenPGP desde anos? Pergunte aos amigos se eles têm vestígios das chaves. A maioria das distribuições Linux envia um conjunto inteiro de chaves usadas para assinar o software.
Isso não é nada fácil de fazer, e envolve bastante trabalho, mas se você quiser validar uma assinatura corretamente, não há outro jeito.