Si quiero verificar las firmas de un proyecto cuyos paquetes descargo & verificar con frecuencia, ¿sería razonable para mí firmar la clave de firma de ese proyecto?
Actualmente, verifico la firma con GPG, luego tengo que verificar manualmente la huella digital de la firma con la huella digital publicada en línea. ¿Es este un caso de uso correcto para firmar una clave? No tengo amigos en la web de confianza a través de los cuales puedo confiar en estas claves.
Por supuesto, nunca he conocido a nadie en persona para verificar la clave, pero he verificado varias firmas de la misma clave durante un par de semanas. Creo que puedo estar razonablemente seguro de que la clave de firma es la de ellos.