Как правило, ключи проверяются в OpenPGP через сеть доверия. Это сеть, состоящая из различных ключей и сертификатов, выданных между ними. Следуя таким путям (называемым доверенными путями), вы можете расширить набор ключей, которым доверяете.
Вам всегда нужен какой-то якорь доверия: вам нужно быть уверенным в некоторых ключах, которые вы уже проверили. Часто это делается на конференциях, на которых проводятся вечеринки подписи ключей. Вы также можете доверять некоторым серверам (например, на основе транспортного шифрования), но это именно то, что вы пытаетесь не делать.
Помимо явного доверия, существует также понятие «TOFU»: доверие при первом использовании . Злоумышленник вряд ли сможет предоставлять управляемые программные пакеты по разным каналам распространения и длительное время. Попробуйте найти источники ключа, который вы уже используете (например, в дистрибутиве Linux, который вы загрузили несколько лет назад, или на DVD-дисках старого компьютерного журнала). Есть ли копии, размещенные в каких-либо программных хранилищах, которые не находятся под непосредственным контролем исходного проекта? В архиве есть список ключей OpenPGP с годами? Спросите друзей, есть ли у них следы от ключей. Большинство дистрибутивов Linux поставляют полный набор ключей, используемых для подписи программного обеспечения.
Это нелегко сделать, и это требует некоторой работы, но если вы хотите правильно проверить подпись, другого пути нет.