Les clés peuvent être signées, au même titre que tous les autres fichiers afin que la « signature » électronique garantisse leur authenticité et leur intégrité. Si vous êtes absolument certain que la clé importée appartient réellement à la personne spécifiée comme étant son propriétaire, exprimez votre confiance dans l'authenticité de la clé en utilisant votre signature.

	Établir un réseau de confiance
Une communication chiffrée n'est sûre que dans la mesure où vous pouvez parfaitement associer les clés publiques en circulation avec leur propriétaire. En faisant des vérifications croisées et en signant ces clés, vous contribuez à établir un réseau de confiance (Web of Trust).

Dans la liste des clés, marquez la clé que vous désirez signer. Dans le menu ‘Clés’, sélectionnez l'option ‘Signer clé(s)’. Dans la fenêtre de dialogue suivante, désignez la clé privée à utiliser pour cette signature. Un avertissement vous rappelle de vérifier l'authenticité de cette clé avant de la signer. Si vous avez procédé à cette vérification, cliquez sur ‘Continuer’ ; la prochaine étape consiste à entrer le mot de passe pour la clé privée sélectionnée. Les autres utilisateurs peuvent maintenant vérifier la signature à l'aide de votre clé publique.

Afin d'éviter, lors du déchiffrement de messages ou de la vérification de signatures, que le programme correspondant vous demande constamment si la clé mérite confiance et si vous supposez que'elle est vraiment utilisée par son propriétaire autorisé, modifiez le niveau de confiance de la nouvelle clé importée. Par défaut, une clé nouvellement importée apparaît toujours dans la liste avec le symbole « ? » au lieu d'une spécification relative au niveau de confiance.

En cliquant avec le bouton de droite de la souris sur la clé nouvellement importée, vous ouvrez un petit menu contextuel relatif à l'administration de la clé. Dans le menu, sélectionnez le point ‘Modifier la clé dans un terminal’ afin d'attribuer le niveau de confiance que vous souhaitez. KGpg ouvre alors une console de texte dans laquelle vous pouvez définir le niveau de confiance à l'aide de quelques commandes.

À l'invite de la console de texte (Command>), entrez trust. Assignez maintenant une valeur de 1 (pas sûr) à 5 (confiance complète) représentant à quel point vous êtes confiant dans le fait que ceux qui ont signé la clé importée ont vérifié l'identité du propriétaire supposé de la clé. À l'invite (Your decision?), entrez la valeur que vous avez choisi. Si vous êtes sûr de la clé, entrez la valeur 5. Répondez à la question suivante avec y. Enfin, entrez quit pour quitter la console et retourner à la liste de clés. La clé possède maintenant le niveau de confiance Ultimate.

Le niveau de confiance des clés de votre trousseau est indiqué par une barre colorée en face du nom de la clé. Plus le niveau de confiance est bas, moins vous pouvez faire confiance au signataire de la clé et croire qu'il a vérifié la véritable identité des clés signées. Vous pouvez être absolument certain de l'identité du signataire mais lui-même peut être trop paresseux pour vérifier les identités d'autres personnes avant de signer leurs clés. Vous pouvez ainsi toujours lui faire confiance ainsi qu'à ses clés mais assigner des niveaux de confiance plus bas aux clés appartenant à d'autres et qu'il a pu signer. Les niveaux de confiance n'ont qu'un rôle informatif. Ils ne déclenchent aucun action automatique de KGpg.