Non sono sicuro che ci sia qualcosa di specifico in OpenPGP, ma il problema che descrivi non sembra specifico per questo contesto.
Per quanto ne so, gli exploit che portano all'esecuzione di codice arbitrario (ad esempio basati su overflow del buffer) potrebbero verificarsi con l'elaborazione di qualsiasi tipo di dati non attendibili a priori che potrebbero essere elaborati. Se ciò accade nel codice che ha elaborato una chiave malformata o qualsiasi altra forma di dati probabilmente non importa molto in questo contesto.
Ogni volta che esegui del codice che elabora alcuni dati che non ti fidi già (e in un modo che ti fidi), vuoi che quel codice sia privo di errori, almeno privo di bug che porterebbe a codice arbitrario esecuzione o altri problemi di sicurezza.
In questo caso, se i dati vengono utilizzati successivamente da un meccanismo di sicurezza è una preoccupazione secondaria.
(Ovviamente si desidera anche che l'implementazione della verifica della firma necessaria sia corretta. Ecco dove è importante per motivi di sicurezza.)
Lo stesso tipo di problema potrebbe verificarsi con uno stack TLS basato su X.509, ad esempio. Si vorrebbe che lo stack TLS non permetta ai certificati non validi di consentire a un utente malintenzionato di ottenere il controllo del proprio sistema (di nuovo, è vero per qualsiasi sistema che elabora un gruppo di byte che non conosce in anticipo). La corretta convalida e verifica del certificato che ti consentirà di avere fiducia nella connessione TLS stabilita una volta che l'handshake è stato completato con successo è molto importante, ma solo una questione secondaria, quindi.
Penso che la differenza principale rispetto ad altri tipi di dati risieda nella difficoltà di implementare correttamente questo tipo di codice. Le strutture di archiviazione utilizzate nel contesto di PGP o X.509 tendono a fare affidamento su ASN.1, che in molti casi può essere chiaro come il fango. Scrivere un codice senza bug che si occupa di ASN.1 non è facile (IMHO).
Penso che la citazione di Thomas (" ... non dovresti fidarti del server delle chiavi ... ") ha più a che fare con il fatto che non puoi fidarti del key server come entità che garantisce per la chiave che serve. Questo è solo un servizio di hosting, al contrario di un editor / editore / autore.