GnuPG repose sur le principe d’un réseau de confiance.

Lorsque tu es sûr qu’une clé donnée appartient bien à la personne qui prétend la détenir (c’est à dire si tu es sûr que c’est bien toto, dont l’email est toto@chezmoi.net qui a généré la clé dont l’ID est 123FDC54), tu peux la signer avec ta propre clé.

Si quelqu’un – qui sait que ta clé est bien valide et que c’est bien la tienne – reçoit des données signées avec la clé de toto, il saura qu’il pourra faire confiance à l’émetteur des données. En effet, tu as signé la clé de toto avec ta clé. Tu as donc fait confiance à la clé de toto. Donc, les données de toto sont dignes de confiance. Or toto a signé la clé de l’émetteur avec une clé que tu as signée, donc l’émetteur et ses données sont dignes de confiance (compliqué, non ?).

Ainsi, par échange de signatures mutuelles, tu fais grossir ton réseau de confiance, et donc le nombre de clés en qui tu peux avoir toute confiance.

Le message que tu indiques dans ta question signifie que le mail que tu as reçu est signé, mais que la clé utilisée n’est pas signée. Tu dois donc prendre l’information contenu dans l’email avec des pincettes. Ou changer manuellement la confiance que tu apportes à cette clé avec :

C’est d’ailleurs avec cette même commande gpg --edit-key que tu peux signer une clé, après t’être assuré que c’est la bonne clé ; pour ensuite l’envoyer sur les serveurs de clés, ou la renvoyer à l’émetteur.