Moin!

Ah, das ist der Schlüssel zum Verständnis.
Allerdings übernimmt die letztendliche Verifizierung hier aber der private Schlüssel, der öffentliche Schlüssel genügt noch nicht.

Nein. Das Verfahren ist asymmetrisch: Mit dem öffentlichen Key kann man Nachrichten verschlüsseln, die man ausschließlich mit dem privaten Key entschlüsseln kann.

Umgekehrt kann man ausschließlich mit dem privaten Key Signaturen erzeugen, die man wiederum mit dem öffentlichen Key verifizieren kann.

Abgesehen davon ist mein Foto in meinem Key gespeichert - ob man das so einfach wieder loswird ohne privaten Key, weiß ich nicht.

Womit hast du deinen Key erzeugt? Ich hatte mir irgendwann einmal einen mit Hilfe der Enigmail-Erweiterung für Thunderbird erstellen lassen, aber mangels Verständnis bisher nicht eingesetzt.

PGP Freeware 7.0.3

Parallel hat man den Key an die c't geschickt, und kriegt nach einiger Zeit den von c't signierten Key zurück.

Inwiefern unterscheidet sich ein signierter öffentlicher Schlüssel von einem normalen?

Jeder Schlüssel ist signiert - mit sich selbst. Aber wenn noch andere Unterschriften dranhängen, bestätigen diese Unterschriften die Korrektheit des Keys. Und wenn man jemandem, der dort unterschrieben hat, vertraut, kann man auch diesem neuen Schlüssel vertrauen. Ein nur durch sich selbst signierter Key ist also eigentlich relativ wertlos für die Benutzung durch Dritte.

- Sven Rautenberg