> Вася знает Вову потому что мельком видел его на тусовке каких-то фриков
> Вова знает Вадима и подписал ключ Вадима, загрузил его на сервера ключей.
или на самом деле нихрена его не знает и подписал стопиццот ключей бухим и укуренным на такой же тусовке, мельком может даже глянув документы, но поскольку был бухой - можно было хоть проездной ему показать.
Вася болел ковидом и на ту тусовку не попал, поэтому не в курсах, а на той первой не наливали, она вообще веганская.
Теперь -
> Вася верит подлинности скачанного ключа Вадима ибо на нем стоит подпись Вовы которого Вася знает лично.
Вася полный лох. Не будь как Вася.
pgp - фееричное г-но именно потому что у него нет понятия "я готов принять этот ключ, здесь и сейчас, потому что у меня есть какие-то мутные но основания полагать, что он все же настоящий, но не в критичной для меня среде и не для подписывания им совсем уже мутных ключей"
Либо доверяешь всем васянам подряд, либо нет.
Правильно сделано - опять у ssh (потому что это Йлонен а не смузихипстерки и не долбанавты из универов) - ключ сам по себе ничего не подтверждает, если его нельзя перепроверить по другому каналу, но вот если второй раз и именно это место внезапно показывает другой - вот это повод бить тревогу.
И больше никак эту криптомусорку использовать просто нельзя.