Vertrauensnetzwerk

[Simon Scheithauer]

Hallo,
Ich habe eine kurze Frage. Gestern habe ich ein Programm und die dazugehörige Signatur
runtergeladen. Beim Download der letzteren erschien der Hinweis, dass die Signatur durch einen
Fehler womöglich ungültig erscheinen könnte -was dann auch passierte- obwohl sie eigentlich gültig
sei. Man müsse, so der Hinweis, diese zunächst signieren um sie dadurch als vertrauenswürdig
einzustufen: "That's how PGP and GPG work".
Ich bin in der Hinsicht eher ein Anfänger, aber irgendwie macht mich das doch stutzig!? Wenn das
Hauptproblem ist, sich der Echtheit der Signaturen zu versichern, dann ist es doch etwas merkwürdig
wenn ich mir diese selbst nachweise? Ich weiß zwar von wo ich das Programm her habe, aber die
Signatur kommt schließlich von der selben Seite.
Ein paar weitere Meinungen hierzu wären sicher hilfreich.
Gruß, S