А как на деле воспользоваться web of trust?

Насколько я помню, у самой GnuPG сеть доверия довольно убогая, хотя она используется например в RetroShare.

Идею правильной и полезной «web of trust» я описывал ещё в мохнатом 2014: "Сеть доверия". Её отличие - при подписи другого ключа можно задавать оценку от -1 до +1 с шагом 0.1 (на самом деле в коде Пандоры используется от -127 +127 с шагом 1, т.е. там байт под оценку, к-й для юзера отображается и при рассчетах используется как -1 до +1 с градацией).

Первые попытки закончились безуспешно, но собрал несколько сведений:

• надо выкачать очень много ключей (оно и так понятно, но теперь есть основания для прикидок, насколько много)
• Константин наш Рябицев, кернел девелопер, запилил для каких-то своих нужд wotmate, который как бы замена wotsap, но не совсем - не выкачивает ключи самостоятельно
• загаживать собственный homedir такими опытами - верх идиотизма; хорошо, что у меня ежедневные снэпшоты
• кейсерверы рейтлимитят.

Значит, надо будет в компанию рисовалке графов смастерить ключекачалку, которая найдет ключи подписанные известными ключами до какой-то глубины рекурсии. Вроде, сервер убунты меня ещё не ограничивал...

надо будет

Не надо было.

gpg --list-sigs | grep sig | grep -E -o "[0-9A-F]{16}" | sort -u | xargs gpg --recv-keys

решило вопрос, выкачав, после запуска по второму кругу, тридцать тыщ ключей и шестьсот тысяч подписей, чего оказалось достаточно для нахождения пресловнутых шести рукопожатий.

Легко находятся цепочки доверия от доверяемых мною лиц к Линусу и Грегу, например. А если не отбрасывать короткие ключи DSA, которые широко использовались в нулевых - можно исследовать web of trust и вокруг, например, релизных ключей генты 2004 года.

Естественно, всё это чисто информативно - иерархия доверия в PGP появилась не на ровном месте.