Chefin,
du brauchst keinen Dienstleister, der die Schlüsselserver sauber hält. Als verantwortungsvoller GPG/PGP-User überprüft man ob der Schlüssel auf dem Schlüsselserver zu der besagten Person gehört.
Das kann man natürlich nur wenn besagte Person einem die Möglichkeiten dazu gibt. Zum Beispiel den Public Key zusätzlich auf der Webseite der Partei etc. veröffentlichen.
Natürlich bietet das auch keine 100%ige Sicherheit aber es hilft schonmal.
Zu der Sache mit der verschlüsselten Datei. Das Passwort zum entschlüsseln muss ja auch irgendwie ausgetauscht werden. Statt einem Passwort kann man telefonisch auch kurz den Fingerprint des Public Keys austauschen. So wird schnell klar ob der Public Key passt. Daher hinkt der Vergleich nichteinmal, er ist kompletter Blödsinn.
Es gibt zudem Dienstleister die Versuchen fehlende Keyparties online irgendwie auszugleichen. Ein gutes Beispiel dafür ist keybase.io.
Dort wird, für den Public key, an vielen Stellen ein Proof online gestellt. GitHub, Reddit, Webseiten, DNS-Einträge, usw. Dass all diese Proofs gleichzeitig gehackt und manipuliert werden, ist sehr unwahrscheinlich. Solche Dienstleister halten keine Keyserver sauber, sie geben den Usern nur eine Plattform um zu zeigen dass der Public Key auch zu ihnen gehört.
Falls das immer noch nicht ausreicht können Public Keys von anderen Usern mittels ihres private Keys signiert und als approved markiert werden. So können Trust-Netzwerke entstehen, die Dezentral sind. Über die Vorteile von Dezentralität muss ich hier wohl niemanden aufklären
Aber lange Rede, kurzer Sinn:
Es geht, man muss nur wollen und vorallem handeln statt zu heucheln*
*Bezieht sich auf Politiker die nach Ende-Zu-Ende-Verschlüsselung schreien aber selber nicht verschlüsseln.