PGP si basa su una gestione decentralizzata, in cui ognuno può rendersi responsabile firmando una chiave. Non si dovrebbe mai certificare una chiave di cui non si è perfettamente sicuri, altrimenti si potrebbe compromettere la ragnatela di fiducia (Web of trust) che PGP intende creare. Quando una nuova chiave entra nel keyring si calcola il campo key legitimacy in base ai valori del campo signature trust delle persone che hanno firmato questa chiave.
Nel momento in cui viene calcolato key legitimacy, PGP chiede all'utente di inserire due valori x e y, con cui calcola la somma pesata dei valori di trust assegnando 1/x alle firme fidate e 1/y a quelle non note. Se il totale delle somme pesate è 1 e se almeno una firma è completamente fidata allora il valore del campo key legitimacy è posto ad 1.
Alla chiave pubblica in un keyring si possono assegnare 4 livelli di fiducia:
completamente fidato
parzialmente fidato
non fidato
non noto
Tutte le chiavi firmate con la propria chiave sono valide!
Per estendere la web of trust si organizzano delle feste, dette key signing party, alle quali partecipano gli utenti di PGP con lo scopo di incontrarsi e di firmare chiavi.
