Se non c'è ancora un trust nel portachiavi Debian (o in qualsiasi altro gruppo, ma restiamo fedeli all'esempio Debian qui), hai nessuna possibilità di verificare nulla.
Faking di intere reti / portachiavi
È facilmente possibile replicare il portachiavi Debian completo con tutti gli ID utente e le firme rilasciati, sembrerà del tutto legittimo pur essendo completamente inventato. Pagerank restituirà esattamente gli stessi risultati per entrambe le reti. Alla fine, questo è praticamente il male32 sull'intero componente strongmente connesso di OpenPGP per mostrare gli attacchi di collisione con ID della chiave corta.
Certificati di origine dell'autorità di certificazione
Questo è un problema generale dei sistemi di certificazione, hai sempre bisogno di un'ancora di fiducia. Per X.509 (come utilizzato per TLS e S / MIME), vengono utilizzate le autorità di certificazione i cui certificati sono dichiarati attendibili nei browser e nei sistemi operativi. Per OpenPGP, dovrai uscire e trovare un'ancora di fiducia da solo. Per il portachiavi Debian, andare a un meetup per gli utenti Debian o alla conferenza sul software libero è un buon inizio, incontrerai un sacco di persone nel portachiavi lì.
Fidati al primo utilizzo
Per il caso generale e quando le chiavi sono già state utilizzate per la firma di cose che stai già utilizzando da un po 'di tempo, potresti anche applicare "TOFU" (fiducia al primo utilizzo): è improbabile che qualcuno sia stato in grado di fingere il portachiavi Debian (o anche solo alcune loro chiavi) in molte fonti diverse. Dai un'occhiata all'installazione di Linux che hai: c'è un portachiavi all'interno (praticamente tutte le distribuzioni Linux usano GnuPG e OpenPGP per verificare il software nel loro gestore di pacchetti). Prendi alcune copie o riviste di computer con distribuzioni Linux all'interno di diversi negozi. Usa diverse connessioni Internet in posti diversi per recuperare il portachiavi. Se trovi sempre alcuni tasti, molto probabilmente appartengono effettivamente al portachiavi Debian (o portachiavi simili). Questo non verifica gli individui, ma almeno verifica l'appartenenza di quella chiave nel portachiavi ad un determinato grado.