(przed przeczytaniem tego rozdziału powinieneś zapoznać się z rozdziałem "Ochrona klucza publicznego przed sfałszowaniem")
PGP samo sprawdza czy każdy z kluczy w bazie posiada wiarygodną sygnaturę. Twoim zadaniem jest jedynie decydowanie, którym osobom chcesz ufać jako wprowadzającym nowe klucze, oraz podpisanie ich kluczy Twoim kluczem prywatnym, mającym status "aksjomatycznego" (absolutnie i z założenia zaufanego). Jak już wspomniano, zmiana zaufania w stosunku do klucza sygnatora automatycznie pociągnie za sobą zmianę wiarygodności sygnowanych przezeń kluczy.
PGP kieruje się dwoma - całkowicie odrębnymi kryteriami przy ocenie wiarygodności kluczy - nie wolno ich łączyć:
PGP jest w stanie samodzielnie uzyskać odpowiedź na pierwsze pytanie. Na drugie musi odpowiedzieć sam użytkownik. Na podstawie udzielonej odpowiedzi PGP automatycznie uzupełni też odpowiedzi na pierwsze pytanie w stosunku do innych kluczy podpisanych przez posiadacza akurat sprawdzanego klucza.
Klucz poświadczony przez zaufaną osobę [jej kluczem prywatnym -PK] jest przez PGP uznawany za dobry. Z kolei klucze publiczne owych "zaufanych osób" też muszą byc podpisane: przez Ciebie lub przez innych "zaufanych".
Zaufanie do osoby swiadczącej inne klucze nie ma w założeniu odzwierciedlać Twojej opinii tylko o odpowiedzialności tej osoby ale też o jej kompetencji do zarządzania kluczami. Dlatego też PGP pozwala okreslić to zaufanie jako kilkustopniowe : brak zaufania, zaufanie nieznane, marginalne, pełne oraz absolutne. Twój wybór jest przechowywany razem z kluczem danej osoby. Ponieważ jest on traktowany jako informacja prywatna i poufna, poziom zaufania nie jest kopiowany wraz z kluczem.
Podczas obliczania wiarygodności klucza publicznego PGP bierze pod uwagę wagę każdej z opatrujących go sygnatur. Standardowo dwie sygnatury osób marginalnie zaufanych znaczą tyle co jedna osoby w pełni zaufanej. Ustawienie to może byc zmienione w zależności od indywidualnych potrzeb - na przykład możesz żądać od PGP by o wiarygodności klucza decydowały dwie sygnatury osób w pełni zaufanych lub trzy marginalnie.
Twój klucz publiczny posiada status klucza aksjomatycznego. Oznacza to że nie potrzebuje on żadnych dodatkowych sygnatur od osób trzecich by PGP uznało go za wiarygodny. Złożone przez Ciebie sygnatury również mają dla PGP status absolutnie zaufanych. PGP decyduje o tym czy dany klucz należy do Ciebie, czy nie, szukając pasującego doń klucza prywatnego.
Podstawowym założeniem takiego, opartego na sygnaturach, zdecentralizowanego i odpornego na infiltrację systemu jest to że w miarę upływu czasu każdy z użytkowników gromadzi coraz większą pulę kluczy publicznych innych osób, potencjalnie zaufanych. W ten sposób klucz dawany innym osobom opatrzony jest coraz to większą liczbą sygnatur. Daje to nadzieję, że gdy dotrze on do którejś z kolei osoby chcącej go wykorzystać, znajdzie ona pośród sygnatur przynajmniej jedną - dwie godne zaufania.
Takie podejście stroi w żywej opozycji z oficjalnymi, sterowanymi przez rząd systemami zarządzania kluczami jak np. stosowany w Internecie PEM (Privacy Enhanced Mail), który oparty jest na centralnej kontroli i narzuconym z góry obiekcie zaufania. Standard ten opiera się na hierarchii Urzędników Certyfikujących którzy mówią Ci komu masz ufać. Kluczem do systemu PGP jest zdecentralizowana, probabilistyczna metoda określania wiarygodności. PGP pozwala Ci samodzielnie decydować komu ufasz, ustawiając Twój klucz na samym szczycie piramidy certyfikatów. PGP jest dla ludzi którzy przed skokiem z samolotu wolą sami spakować sobie spadochron ;)