A mensagem explica que o GnuPG não conseguiu validar a propriedade da chave. Todo mundo pode gerar chaves para nomes arbitrários e endereços de e-mail (basta procurar nos servidores de chaves por [email protected] ).
Uma maneira muito "OpenPGP" seria validar a chave através da rede de confiança OpenPGP. Os usuários avançados do OpenPGP verificam as identidades de outras pessoas e atestam essa verificação emitindo certificações nas chaves do outro. Isso forma uma rede de chaves conectadas, com um chamado caminho de confiança entre duas chaves arbitrárias na rede. Se você também participa disso e confia nas pessoas no caminho da confiança, você validou com êxito a propriedade da chave. O GnuPG suporta isso através de certificações (muitas vezes também chamadas de assinaturas) e emitindo confiança; se você puder validar uma chave através de sua visão local na rede de confiança, a mensagem de aviso desaparecerá.
Então, há uma abordagem mais pragmática: se você encontrar alguma pista razoável de que a chave pertence ao projeto cygwin, tudo bem. Essa pode ser a impressão digital listada no site do projeto transmitida por meio de HTTPs ( IDs de chave curta não são suficientes! ).
Além disso, você poderia concordar com "bem, não posso validar a chave agora, mas ainda estou jogando com o software em uma máquina virtual ou dispositivo de teste, e se nenhum ataque foi anunciado em público ou a chave de repente mudanças por alguns dias ou semanas, estou bem ". Esse conceito também seria chamado de confiança no primeiro uso: você realmente não espera um ataque ou software manipulado, mas quer ser capaz de detectá-lo no futuro. Similarmente, você poderia viajar no tempo; talvez você já encontre referências à chave em outras instalações ou distribuições.