Schlüssel können wie jede andere Datei signiert werden, um durch die digitale „Unterschrift“ deren Echtheit und Unversehrtheit zu gewährleisten. Sind Sie sich absolut sicher, dass der importierte Schlüssel wirklich demjenigen zugeordnet ist, der als sein Besitzer genannt wird, können Sie Ihr Vertrauen in die Echtheit des Schlüssels durch Ihre Signatur zum Ausdruck bringen.

	Ein Netzwerk des Vertrauens aufbauen (Web of Trust)
Verschlüsselte Kommunikation ist in dem Maße sicher, in dem Sie nachweislich wissen, dass die im Umlauf befindlichen öffentlichen Schlüssel dem angegebenen Benutzer gehören. Durch wechselseitige Überprüfung und anschließendes Signieren dieser Schlüssel helfen Sie mit, ein vertrauenswürdiges Netzwerk (Web of Trust) aufzubauen.

Markieren Sie in der Schlüsselübersicht den Schlüssel, den Sie signieren möchten. Wählen Sie im Menü ‘Schlüssel’ den Unterpunkt ‘Schlüssel signieren...’ aus. Im folgenden Dialogfenster legen Sie den privaten Schlüssel fest, der zum Signieren eingesetzt werden soll. Es erscheint nun eine Warnung die Echtheit dieses Schlüssels zu überprüfen, bevor Sie ihn signieren. Wenn Sie diese Überprüfung vorgenommen haben, klicken Sie auf ‘Fortsetzen’ und geben das zu Ihrem gewählten privaten Schlüssel passende Passwort ein. Andere Benutzer können nun mittels Ihres öffentlichen Schlüssels die Signatur überprüfen.

Um zu vermeiden, dass bei zu entschlüsselnden Nachrichten oder der Überprüfung von Signaturen immer wieder vom entsprechenden Programm gefragt wird, ob Sie dem verwendeten Schlüssel vertrauen und damit annehmen, dass dieser Schlüssel auch wirklich von seinem rechtmäßigen Besitzer benutzt wurde, können Sie den Vertrauensgrad des neu importierten Schlüssels abändern. Ein neu importierter Schlüssel erscheint in der Übersicht standardmäßig mit „?“ anstelle einer Angabe über den Vertrauensgrad. Dies bedeutet, dass dem Schlüssel kein bestimmter Vertrauensgrad zugewiesen wurde.

Mit einem Klick der rechten Maustaste auf den neu importierten Schlüssel rufen Sie ein kleines Kontextmenü zur Schlüsselverwaltung auf. Wählen Sie hier den Menüpunkt ‘Schlüssel in Konsole bearbeiten’, um den Vertrauensgrad anzupassen. KGpg öffnet nun eine Textkonsole, in der Sie mittels weniger Befehle den Vertrauensgrad festlegen können.

Geben Sie am Prompt der Textkonsole trust ein. Nun schätzen Sie auf einer Skala von 1-5 ein, inwieweit Sie denjenigen, die den importierten Schlüssel signiert haben, zutrauen, dass diese die wirkliche Identität des vermeintlichen Besitzers dieses Schlüssels überprüft haben. Am Prompt (Ihre Auswahl?) geben Sie den gewählten Wert ein. Sind Sie sich Ihrer Sache wirklich sicher, geben Sie hier 5 ein. Die nachfolgende Frage beantworten Sie mit y. Mit der abschließenden Eingabe von quit verlassen Sie die Konsole und kehren zur Schlüsselübersicht zurück. Der Schlüssel trägt nun den Wert Ultimativ für den Vertrauensgrad.

Der Vertrauensgrad der Schlüssel in Ihrem Schlüsselbund (keyring) wird durch einen farbigen Balken neben dem Schlüsselnamen dargestellt. Je niedriger der Vertrauensgrad ist, desto weniger trauen Sie dem Signierer des Schlüssels zu, sich von der wirklichen Identität der signierten Schlüssel überzeugt zu haben. Sie mögen sich zwar der Identität des Signierers sicher sein, aber er könnte durchaus nachlässig bei der Überprüfung der Identitäten von Leuten sein, derer Schlüssel er signiert. Es ist deshalb möglich, dass Sie ihm und seinem eigenen Schlüssel trauen während sie dennoch den von ihm signierten Schlüsseln anderer Leute einen niedrigeren Vertrauensgrad zuweisen. Der Zweck des Vertrauensgrades is allein erinnernder Natur. Er bedingt keine automatischen Handlungen durch KGpg.