La idea básica de la web de confianza, tal como se utiliza en PGP para enviar mensajes, es la validación de pares:
Alice conoce a Bob, Bob conoce a Cindy, pero Alice no conoce a Cindy. Cindy quiere enviarle algo privado a Alice, pero primero debe ser "presentada" a Alice.
Cindy comienza pidiendo primero a Alice su certificado de clave pública. Alicia lo envía; Es información pública, para que ella pueda transmitirla al mundo. En este único certificado se incluiría una serie de firmas digitales, cada una de una persona que Alice conoce, incluido Bob, quien está a cargo de la exactitud de este certificado. Cada firma es única para la combinación del certificado y el firmante, y la creación de una firma requiere una clave privada conocida solo por ese firmante. Una vez creada, cualquiera que conozca la clave pública que coincide con la clave privada del firmante puede usar esa clave para verificar que la firma coincida con el mensaje y con el firmante (o que no lo haga).
Como tal, la malvada Eva no puede esperar alterar el mensaje de tal manera que las firmas aún coincidan, ni puede cambiar las firmas por sí mismas, sin haber comprometido las claves privadas de todos los firmantes. Lo peor que puede hacer, dado que otra persona ya lo sabe y confirma la identidad de Alice, es corromper el certificado, lo que hace que Cindy lo rechace, impidiendo la comunicación deseada.
Alternativamente, Cindy podría preguntar a todos sus amigos si conocen a Alice, y cualquiera que lo haga, incluyendo a Bob, puede enviar a Cindy una copia del certificado de Alice con solo su firma. Esto reduce la cantidad de firmas que deben incluirse en un solo certificado para proporcionar una buena oportunidad para que Cindy reconozca una; ya que Cindy le pregunta a sus propios amigos, que solo responderían si de hecho conocieran a Alice, Cindy solo recibe firmas de personas que conoce y en las que confía ostensiblemente. Pero, podría causar una gran cantidad de datos que se enviarán a Cindy si Cindy y Alice tienen muchos amigos en común.
En cualquier caso, Cindy escanea estas firmas en busca de firmantes que ella sepa. Ella encuentra el nombre de Bob, valida su firma de este certificado, y ahora sabe que Bob cree que este es el verdadero certificado para la verdadera Alicia. Cindy ahora tiene la opción de confiar en Bob implícitamente, y así confiar en el certificado de Alice solo en su palabra, o en confiar parcialmente en Bob, y buscar a otras personas que conoce que hayan firmado el certificado de Alice. Si encuentra suficientes personas en las que confía parcialmente, o al menos en una persona en la que confía de forma implícita, puede confiar en el certificado de Alice por extensión. Esto se conoce como la "introducción confiable" y es fundamental para la web de confianza.
Una vez que Cindy decide confiar en el certificado, usa su clave pública para cifrar la clave en un mensaje cifrado simétricamente que también ha sido firmado por Cindy con su propio certificado. Entonces ella lo envía a Alice. Alice no conoce a Cindy, y por eso repite un proceso similar que Cindy hizo para obtener, validar y decidir confiar en el certificado de clave pública de Cindy (lo que ella hace, porque Bob ha firmado el certificado de Cindy y Alice confía en Bob de manera implícita). Ella usa su propia clave privada para descifrar la clave del mensaje, luego la usa para descifrar el mensaje y finalmente usa la clave pública de Cindy para validar la firma del mensaje.
Ahora, eso es con tres personas que ya están parcialmente "enredadas" en la web y, por lo tanto, pueden confiar entre sí según las recomendaciones de sus compañeros. Para dos personas sin amigos en los que se confía mutuamente, como cuando una web recién comienza o cuando una persona nueva que nunca ha usado PGP antes intenta unirse, esta recomendación automática de pares simplemente no funcionará; no hay recomendaciones de pares para hablar (puede que ni siquiera haya compañeros). Para hacer girar correctamente los primeros hilos de esta web, las personas que lo deseen deben intercambiar archivos de certificados entre sí dentro de un entorno de confianza inherente (conocido como "parte de firma clave"). De lo contrario, la malvada Eva puede interceptar los certificados que se intercambian, reemplazarlos con certificados falsificados, y se convierte en un "hombre en el medio".
La forma más antigua y sencilla de evitar esto es simplemente reunirse en persona e intercambiar físicamente los archivos de certificados entre sí. Existen otras posibilidades, tales como buzones seguros, pero todo lo que Eve necesita es un segundo de acceso no restringido y no detectado al almacenamiento físico de la llave para arruinarlo todo.