说到这里也许有人会问想到，只通过一个签名公证力度是不是小了点，聪明的PGP当然会想到这一点，就是把不同签名自己的公钥收集在一起，发送到公共场合，这样可以希望大部分人至少认识其中一个，从而间接认证了用户的公钥。同样用户签了朋友的公钥后应该寄回给他，这样就可以让他通过该用户被该用户的其他朋友所认证。有点意思吧，和现实社会中人们的交往一样。PGP会自动根据用户拿到的公钥中有哪些是朋友介绍来的，把它们分为不同的信任级别，供用户参考决定对它们的信任程度。也可指定某人有几层转介公钥的能力，这种能力是随着认证的传递而递减的。

也许还有人会问：如何安全地得到D或其他签名朋友的公钥呢。确实有可能用户A拿到的D或其他签名的朋友的公钥也假的，但这就求这个用户C必须对你们三人甚至很多人都很熟悉，这样的可能性不大，而且必需经过长时间的策划。当然，PGP对这种可能也预防的建议，那就是由一个大家普遍信任的机构担当这个角色，他被称为认证权威机构，每个由他签过字的公钥都被认为真的，这样大家只要有他的公钥就行了，认证这个人的公钥是方便的，因他广泛提供这个服务，假冒他的公钥是极困难的，因为他的公钥流传广泛。这样的"权威机构"适合由非个人控制组织或政府机构充当，现在已经有等级认证制度的机构存在，如广东省电子商务电子认证中心（www.cnca.net)就是一个权威的认证机构。

对于那些非常分散的用户，PGP更赞成使用私人方式的密钥转介方式，因这样有的非官方途径更能反映出人们自然的社会交往，而且人们也能自由地选择信任的朋友来公证，总之和不认识的人们之间的交往一样，每个公钥至少有一个"用户名"（User ID），请尽量用自己的全名，最好再加上本人的E-mail地址，以免混淆，这就是PGP推荐使用的电话密钥认证。

PGP的每个密钥有它们自己的标识（keyID），keyID是一个8位十六进制数，两个密钥具有同keyID的可能性只有十亿分之一，而且PGP还提供了一种更可靠的标识密钥的方法：“密钥指纹”(keys fingrprint)，每个密钥对应一串数字（16个2位十六进制数），这个指纹重复的可能就更微乎其微了。而且任何人无法指定生成一个具有某个指纹的密钥，密钥是随机生成的，从指纹也无法反推出密钥来。用户拿到某人密钥后就可以他在电话上核对这个指纹，从而认证他的公钥。

--

※ 原文链接: http://soft.yesky.com/SoftChannel/72356695560421376/20011108/203842.shtml