O OpenPGP não conhece uma autoridade de certificação central como o X.509 / S / MIME, portanto você precisa encontrar um caminho de confiança de você para o proprietário da chave (provável) na rede de confiança.
A maneira mais fácil é testar diretamente a posse da chave do outro, mas isso requer o encontro com o outro (para verificar sua identidade) e / ou conhecer o outro muito bem (então você pode estar bem ligando para ele, pedindo a ele impressão digital, e talvez alguma pergunta só ele poderia responder). No final, é em você que decide como verificar a identidade e a propriedade da outra.
Se você não puder fazer isso, faça o seguinte:
- Entre na rede de confiança. Tenha sua própria chave assinada, vá assinando outras chaves. Visite as principais partes signatárias, para tentar encontrar usuários (bem conectados) do OpenPGP, por exemplo. em . Lugares agradáveis para obter a sua chave assinada são também encontros do seu grupo de usuários Linux / Unix local e (pelo menos na Europa) reuniões do partido pirata. Eu também recomendo inscrever-se com CAcert , que originalmente distribui chaves X.509, mas ao longo do caminho são a maior "autoridade de certificação" "na rede de confiança do OpenPGP. Muitos usuários do CAcert também têm uma chave OpenPGP e terão prazer em assinar a sua quando for atender a garantia do CAcert!
- Valide a chave do outro. Se você foi capaz de validar diretamente a chave do outro (por conhecê-lo de alguma forma, e verificar sua identidade se você não o conhece muito bem ou qual é a sua política), você terá que encontrar um caminho de confiança . Isso significa que, ao emitir confiança, você confia em assinaturas emitidas por outro. Você pode confiar em um bom amigo ou colega de quem tem certeza de que ele está bem em assinar chaves. Se você concorda com a maneira como o CAcert o faz, essa é uma ótima maneira de gerar confiança para uma parte bastante grande da rede de confiança (e, na minha opinião, eles estão indo muito bem).
Para mais detalhes sobre confiança, leia a página de manual do GnuPG sobre confiança e também < href="https://security.stackexchange.com/questions/41208/what-is-the-exact-meaning-of-this-gpg-output-regarding-trust/41209#41209"> esta resposta minha em outra pergunta .