Hallo Ashura,

Vergleicht man hierbei den Private-Key?

Nein, den privaten Schlüssel darf nie jemand anderes erfahren. Er könnte ja dann damit signieren und entschlüsseln.

Andernfalls könnte ich mir sonst nicht erklären, wie man an Hand des Public-Keys, welchen ja praktisch jeder besitzen kann, die Authentizität überprüfen sollte.

Die Authentizität einer Nachricht überprüft man ja, indem man mit dem öffentlichen Schlüssel die Prüfsumme, die der Empfänger mit dem privaten Schlüssel verschlüsselt hat, entschlüsselt und überprüft.

Man muss also wissen, dass der öffentliche Schlüssel, den man für eine bestimmte Person verwendet, dieser wirklich gehört. Das funktioniert nur über einen sicheren Kommunikationskanal, also z.B. indem man sich trifft und die Schlüssel vergleicht.
Das wird eben bei Zertifikaten umgangen, indem irgend welche Instanzen dafür bürgen, dass die Angaben des Zertifikats korrekt sind. Die Authentizität der Zertifikate stellt man in dem Fall fest, indem man deren öffentlichen Schlüssel schon mit der Software enthält. Im Prinzip könnte aber natürlich diese schon manipuliert worden sein. Wenn man ganz paranoid ist, besucht man also die Zertifizierungsstelle und überprüft das selbst ;-)

Grüße

Daniel