Potrei essere totalmente frainteso dal concetto di web-of-trust, ma immagino il seguente scenario: Genero la mia chiave, poi vado a una key signing party, e dopo, importare tutte le chiavi che ho verificato con le impronte digitali, e firmare quelli. Ora, renderà tutte quelle chiavi pienamente valide , ma il trust predefinito per ogni chiave sarà comunque impostato sul valore predefinito, ad esempio "sconosciuto". Il che significa che se ora importare una nuova chiave, anche se questa nuova chiave ha abbastanza (*) firme da quelle, non sarà considerata valida, perché nessuna di queste chiavi è attendibile.
Il che significa che per le parti che firmano le chiavi di avere qualche utilità, dobbiamo impostare la fiducia di queste chiavi almeno marginalmente attendibili. Destra? O sto facendo qualche errore da qualche parte nel mio ragionamento?
(*) - Nel modello di sicurezza predefinito di GPG, ovvero un sig di una chiave completamente affidabile o 3 di chiavi marginalmente attendibili.