Uso spesso GPG per verificare i download. Facendo ciò, implicitamente ripongo fiducia in una chiave fornita dall'autore. Almeno mi fido della chiave abbastanza per eseguire il software verificato usando la chiave data sul mio computer. Alcuni esempi potrebbero essere una chiave di manutenzione della distribuzione GNU / Linux pubblicata sulla sua homepage (disponibile su HTTPS) o un autore di programma che fa riferimento al suo profilo Keybase.io che è destinato a essere utilizzato per ottenere una chiave GPG per la verifica dei pacchetti singolati.
Per contrassegnare tali chiavi come attendibili in modo esplicito invece di importarle nel mio mazzo di chiavi, sembra ragionevole firmarle con la mia chiave. Il livello di certificazione della persona (0x11) sembra essere appropriato in questo caso. Estendendo che potrebbe essere utile rendere pubblicamente disponibili le mie firme, così un mio amico che scarica un pacchetto dallo stesso autore potrebbe trarre vantaggio dal fatto che la chiave sia stata ricontrollata come sicura da usare.
Esistono sostanziali inconvenienti a questo approccio, tranne i problemi di privacy?