Se voglio verificare le firme su un progetto di cui ho scaricato i pacchetti & verificare frequentemente, sarebbe ragionevole per me firmare la chiave di firma del progetto?
Attualmente, verifica la firma utilizzando GPG, quindi devo controllare manualmente l'impronta digitale della firma con l'impronta digitale pubblicata online. Questo è un caso d'uso corretto per la firma di una chiave? Non ho amici nella rete di fiducia grazie alla quale posso fidarmi di queste chiavi.
Naturalmente, non ho mai incontrato nessuno di persona per verificare la chiave, ma ho verificato diverse firme della stessa chiave per un periodo di un paio di settimane. Penso di poter essere ragionevolmente certo che la chiave di firma sia la loro.