是的，它坏了，如果你是

• 混淆了不同类型的信任（好文章，遗憾的是页面离线，但archive.org有），
• 使用错误（例如，只获取您问题中描述的任何密钥）或
• 想让别人使用它而不教育他们。

基本的想法完全没问题，但是你必须对信任谁有点挑剔（又名 Vouch，见上面的链接）。OpenPGP 背后的概念相当复杂，必须小心应用。

信任他人是一项艰巨的工作，其他信任系统也好不到哪里去——问题只是有点不同。

具体到一个点：

例如，某人很容易使用假身份证出现在密钥签名派对上。

如果您任意信任任何人，这只是一个问题。另外：当有人带来篡改的文件时，可能（并且可能总是会）有些人不会意识到。但随着入党人数的增加，机会就会增加，有人会意识到。如果有人这样做，他将对此非常清楚。将假身份证带入密钥签名活动是勇敢的，我可能更愿意进行个人密钥签名。

是的，遗憾的是，现在人们已经达成了相当大的共识，即 PGP Web of Trust / Keyserver 基础设施已被严重破坏。

几十年来，有迹象表明，这种架构背后的理想主义者并没有解决极端的可用性问题和他们的方法缺乏稳健性，但他们没有资源和远见来处理这些难题。不幸的是，当密钥服务器网络本身受到严重打击时，他们和那些听从他们建议的人被严重烧毁。他们甚至不再有愿意或能够修复密钥服务器中晦涩难懂的 OCaml 代码的人，尽管这可能会在某种程度上发生变化。

看：

• OpenPGP 证书攻击令专家担忧 \| 破译2019年毒证书攻击新闻

• SKS 密钥服务器安全吗？我们需要它们吗？沮丧的keyserver-fs的作者

• SKS Keyserver 网络攻击：导致 keyserver 网络先驱 Robert J. Hansen 深感沮丧并做出回应

这对我来说尤其难过，因为我投入了大量的时间和精力，从 1990 年代中期开始，建立和研究信任网络，但那时我们对如何构建可用、安全、健壮和可扩展的协作工具。

值得庆幸的是，那里有很多更好的工具和方法。我最喜欢的是：

• 用于安全以用户为中心的身份/团队协作/聊天/加密签名 git 存储库等的密钥库。

信任网络存在问题，但我认为它们不一定是致命的。我运行一个密钥服务器，它是密钥服务器网络的一部分。它每周处理一次数据库转储，并通过电子邮件向我发送带有电子邮件地址@我的雇主（大学）的新密钥列表。每隔一段时间，我就会组织一次小型的密钥签名派对。与您在 FOSDEM 等会议上看到的大型聚会相比，这些小规模聚会让人们有更多时间进行检查。与我的雇主一起获得电子邮件地址也意味着您是员工或注册为学生。比假文档多一点努力。大学很适合这种事情，因为您可以在学生中获得合理的营业额。

这样做的缺点是您实际上只是在验证身份而不是可信度，因此要利用以这种方式构建的信任网络，您需要通过 WoT 的许多独立路径来验证您未见过的人的身份。

不，尽管设计中存在固有的权衡。

UID 必须使用私钥签名。如果没有至少一个 UID，您将无法发布密钥，因此您需要私钥才能在兼容 OpenPGP 的密钥服务器上发布公共密钥。控制私钥的人可以添加额外的 UID 并撤销现有的 UID。

至于电子邮件验证，这是不可取的，也不能解决问题。UID;s 在设计上与任意数据兼容，因为 PGP 不限于电子邮件。您可以使用位消息地址、实际邮寄地址、Facebook 帐户或网站 URL。

电子邮件也不是一个很好的验证渠道，因为它不是公开的。Keybase 是一个很棒的项目，因为它提供了一个简单的 API 来将社交媒体 UID 添加到您的 PGP 密钥中，并提供了一种方法来验证其他人实际上是否在该社交媒体网站上实际使用了该密钥对。

所以我不认为 WoT 被破坏了，它只是几乎没有被利用。我确实同意仅通过电子邮件和见面会很难做到。

WoT 在设计上是非权威的，具有优点和缺点。一个弱点是您可以更轻松地踏入大门而无需验证，但另一方面，您没有任何意义可以破解并让每个人都信任您。