Signature je vezan za taj file, znaci potvrdjuje da je fajl validan (good signature from...)

A posto ti nikada nisi "upoznao" osobu koja je izdala taj signature, gpg ti kaze da ne zna, odnosno da nema potvrdu da je taj kljuc zapravo od osobe koja kaze da je izdala signature.

Npr, ja mogu isto da napravim sig i kazem da sam baum@tails, ali cu tesko da hakujem tails sajt i da postavim signature tu na osnovu koga ces ti da proveris da li je ISO koji skidas validan.

Ako si postupio prema zvaničnom uputstvu (https://tails.boum.org/install/expert/index.en.html), to je to. Mada, oni su odustali od te vrste verifikacije, jer ništa nije sigurnija od ostalih koje koriste, a samo se komplikuje procedura.
U prinicpu, moraš da koristiš ključeve za koje je neki nadležni certification authority potvrdio kome pripadaju, a to se uglavnom plaća, dok Tails koristi OpenPGP Web of Trust, koji predstavlja decentralizovan model, koji ima svojih prednosti i mana, ali nije baš za neke kritične primene, mada za download OS-a i nije neki problem, tu ti je dovoljan i MD5 heš.