In PGP 6.5.8, esiste un concetto di "validità" per una chiave e viene mostrato nell'interfaccia utente per ogni chiave sul portachiavi.
Che cos'è questo concetto e come impostarlo in modo che una chiave sia considerata valida?
PGP (e anche GnuPG) utilizza il concetto di una rete di fiducia per consentire di convalidare la proprietà delle chiavi degli altri, anche se non li hai incontrati di persona.
Una lunga spiegazione è disponibile nel manuale di PGP, a partire da verifica della fiducia . La versione breve:
In PGP, una chiave è valida, se
Le certificazioni sono condivise sui server delle chiavi e mostrano che l'emittente è sicuro dell'identità del cliente. La fiducia è solo locale (da te) e non condivisa e definisce le certificazioni di cui ti fidi per la convalida delle chiavi di altri.
Alice ha certificato la chiave di Bob e si fida completamente di Bob. Bob ha certificato Carol. Poiché la chiave di Alice è valida (è la sua chiave), la chiave di Bob è anche valida (firmata da un'altra chiave valida e attendibile), quindi le chiavi da lui certificate sono di nuovo valide per Alice, qui la chiave di Carol.
GnuPG ha un modello di fiducia molto simile , ma per impostazione predefinita richiede certificazioni di tre marginalmente affidabili partecipanti (o come PGP uno con una chiave completamente affidabile) e limita la lunghezza dei percorsi di fiducia a cinque (consentendo un massimo di quattro certificazioni intermedie).