PGPにおいて、公開鍵は正しいという保証はない。
整理すると
S/MIME
CAが署名することによって、保証される。
「国が許可しているベリサインが署名しているから大丈夫だろう。」
PGP
信じるしかない。だれも保証しない。
PGPでは互いに署名しあう。PGPで互いに署名しあうサイトも存在し、こまかなルールが決められている。私が信頼する○○さんが署名している△△さんの証明書だから信頼しようという考え。「友達の友達は皆友達」ですね。

ふつうはフィンガープリントを広く配布することで、公開鍵の信頼性を高めている。

■フィンガープリント
直訳すると「指の印刷」とでも言うのであろうか。「指紋」を意味しているのかな。
フィンガープリントとは、ハッシュ値である。
デジタル署名における署名部分と同じ。

「公開鍵」         「フィンガープリント」
AAAAAAAAAAAAAAAAAAA →     aaa

PGPにおいて公開鍵が信頼できなければ、すべてのセキュリティが崩れる。
そこで、フィンガープリントをメールの署名に入れるなどして広く公開しておけば、
公開鍵をハッシュ化し、フィンガープリントと一致することで正しさを証明できる。