Die wichtigste Funktion von Kleopatra ist das Anzeigen und Editieren des Inhalts des lokalen Schlüsselspeichers, der dem Schlüsselring-Konzept von GPG ähnelt, auch wenn man diesen Vergleich nicht zu sehr bemühen sollte.
Das Hauptfenster ist in den großen Schlüsselbereich, die Menüleiste und die Suchleiste am oberen Rand, sowie die Statuszeile am unteren Rand aufgeteilt.
Jede Zeile in der Schlüsselliste entspricht einem Zertifikat, das durch den sogenannten Betreff identifiziert wird. DN ist ein Akronym für den englischen Ausdruck „Distinguished Name“, ein hierarchischer Bezeichner, der einem Dateisystempfad mit merkwürdiger Syntax ähnelt und ein bestimmtes Zertifikat eindeutig global identifizieren soll.
Um gültig und damit verwendbar zu sein, müssen (öffentliche) Schlüssel von einer CA (Certification Authority; Zertifizierungsinstanz) signiert sein. Diese Signaturen werden Zertifikate genannt, aber normalerweise werden die Ausdrücke „Zertifikat“ und „(öffentlicher) Schlüssel“ austauschbar verwendet, sofern das nicht ausdrücklich anders angegeben ist. Der Name der CA, die das Zertifikat ausgestellt hat (dessen DN) wird in der Spalte Ausgestellt durch angezeigt.
CAs müssen ebenfalls wiederum von anderen CAs signiert sein, um gültig zu sein. Natürlich muss diese Kette irgendwo enden, weswegen die oberste CA (die Wurzel-CA) ihren Schlüssel mit sich selbst signiert (dies wird eine Selbst-Signatur genannt). Wurzel-Zertifikaten muss daher die Gültigkeit (meistens Vertrauenswürdigkeit genannt) manuell zugewiesen werden, z.B. durch Vergleichen des Fingerabdrucks mit dem auf der Website der CA. Dies wird normalerweise vom Systemverwalter oder dem Hersteller des Produkts, das Zertifikate verwendet, vorgenommen, kann aber über die Kommandozeilenschnittstelle von GpgSM auch vom Benutzer durchgeführt werden.
Um zu sehen, welche Zertifikate Wurzel-Zertifikate sind, können Sie entweder die Einträge in den Spalten