PGP'nin ilk sürümlerinden bu yana kullanılan cleartext imzalar, imzalı metnin özel bir araç olmaksızın doğrudan okunabilmesini sağlayan bir yöntemdir. Görünürdeki bu fayda, metnin kolayca erişilebilir olmasını sağlarken, bir PGP aracıyla işlendiğinde metnin kaynağını ve bütünlüğünü doğrulama imkanı da sunar. Ancak, bu doğrulama süreci sanıldığı kadar basit değildir ve önemli güvenlik riskleri taşır.
Cleartext imzaların doğrulama mekanizması, özellikle kodlama ve terminal yazılımlarının davranışları nedeniyle karmaşıktır. Örneğin, bazı özel karakter dizileri veya tire ile başlayan satırlar gibi kaçış mekanizmaları, metnin görünen haliyle imzalanan hali arasında farklılıklar yaratabilir. Daha da önemlisi, çoğu terminal yazılımı, ekranda görsel manipülasyonlara olanak tanıyan kaçış kodlarını destekler. Bu durum, bir imzayı doğrulamış olsanız bile, terminalde gördüğünüz metnin gerçekten imzalanan metin olduğunu varsaymanın yanlış olduğu anlamına gelir. Saldırganlar, bu kaçış kodlarını kullanarak kullanıcıya farklı bir içerik gösterebilirken, arka planda imzalanan metin başka bir şey olabilir.
Gerçekte neyin imzalandığını kesin olarak anlamanın tek yolu, tüm mesajı bir PGP aracıyla işlemek ve kaçış kodlarından arındırılmış, gerçek imzalı çıktıyı elde etmektir. GnuPG gibi araçlar, gpg --verify -o signed.txt message.asc veya gpgv -o signed.txt message.asc komutlarıyla imzalı metni ayrı bir dosyaya kaydetme imkanı sunar. Kullanıcı, bu dosyayı inceleyerek ve imzanın güvenilir bir anahtardan geldiğini doğrulayarak gerçek içeriğe ulaşabilir. Bu nedenle, cleartext imzalar kolay görünse de doğru kullanımı zordur. Geriye dönük uyumluluk durumları dışında, dijital imzalama için ayrık imzalar (detached signatures) veya e-postalar için PGP/MIME gibi daha güvenli yöntemlerin kullanılması şiddetle tavsiye edilmektedir.
Cleartext imzaların görünürdeki basitliğinin ardında yatan güvenlik zafiyetleri, dijital iletişimin bütünlüğü ve kullanıcı güvenliği için ciddi riskler oluşturmaktadır.