OpenPGPでは通常、WoT (Web of Trust)というモデルを用いて、 鍵が有効(valid)かどうかが判断されます。
ここで解説を試みますので、具体的な例を見ながら考える機会としてください。
参考までですが、具体的な例で調べてみるまで、僕は、その名前に引きずられて、 まったく違うもの(相互の信頼によって作られる素晴らしい世界、 という感じ)をイメージしていました。
「X.509の認証局に代わるものがOpenPGPでは(みんなで作る)WoTである」というような言明の実際の意味は、僕が当初感じていたものとは違ったのです。技術的な意味では、OpenPGPでX.509の認証局に相当するものは 自分自身の主観 であり、主観にもとづき(わりと限定的に)WoTを利用することができる、に過ぎません。
WoTが使われていないところ
まず最初に、 OpenPGPの実装のGnuPGが、 もっとも多く用いられているであろう使われ方について、 みてみましょう。GnuPGでは、 --trust-model の指定(pgp, classic, direct, always, auto)ができ、 このうち、pgp …