Con frecuencia uso GPG para verificar las descargas. Al hacer eso implícitamente puse mi confianza en una clave proporcionada por el autor. Al menos confío en la clave suficiente para ejecutar el software verificado usando la clave dada en mi computadora. Algunos ejemplos pueden ser la clave de un mantenedor de distribución de GNU / Linux publicada en su página de inicio (disponible a través de HTTPS) o el autor de un programa que haga referencia a su perfil de Keybase.io que se pretende utilizar para obtener una clave GPG para la verificación de paquetes seleccionados.
Para marcar estas claves como de confianza explícita en lugar de solo importarlas en mi conjunto de claves, parece razonable firmarlas con mi clave. El nivel de certificación de la persona (0x11) parece ser apropiado en este caso. Extendiendo que podría ser útil hacer que mis firmas estén disponibles públicamente para que un amigo mío que descargue un paquete del mismo autor pueda beneficiarse de tener la clave marcada como segura de usar.
¿Existen algunos inconvenientes sustanciales en este enfoque, excepto por cuestiones de privacidad?