Was muss man mit einem Schlüssel nach dem Importieren machen, um ihn (sinnvoll) nutzen zu können?
Ihre Antwort: Wenn der Schlüssel nicht automatisch gültig wird, muss man ihn überprüfen und signieren.
Die beiden Aspekte Gültigkeit und Besitzervertrauen (owner trust) werden sehr oft verwechselt. Der einfachere Teil ist die Gültigkeit der Schlüssel. Wie der Name schon sagt, müssen Schlüssel normalerweise gültig sein, damit sie verwendet werden können (manche Mailprogramme setzen sich darüber aber standardmäßig hinweg).
Schlüssel werden im einfachsten Fall dadurch gültig, dass man sie signiert. Das Ergebnis kann eine Signatur für die Öffentlichkeit (eher nichts für Anfänger) oder eine lokale Signatur sein. Dadurch, dass die Schlüssel, zu denen man die privaten Schlüssel hat, normalerweise absolutes Besitzervertrauen haben, macht diese Signatur den importierten Schlüssel vollständig gültig. Die andere, kompliziertere Möglichkeit ist, dass man – über das Web of Trust (WoT) – Schlüssel Dritter berechtigt, andere Schlüssel für einen gültig zu machen. Das ist nichts für Anfänger.
Man sollte seine Schlüsselverwaltung, wenn möglich, so konfigurieren, dass sie einem den Gültigkeitsstatus der Schlüssel anzeigt.
Das Besitzervertrauen – ein besserer Ausdruck wäre Zertifizierungsvertrauen – ist für die Benutzung des jeweiligen Schlüssels im allgemeinen völlig unerheblich; es wirkt sich – richtig eingesetzt – nur auf die Benutzung anderer Schlüssel aus.