Le coppie di chiavi OpenPGP non hanno la stessa catena di fiducia incorporata delle coppie di chiavi X509 (certificati).
Le chiavi OpenPGP possono essere firmate in un modo Web-of-Trust ma questo è non così strongmente incoraggiato come la catena di fiducia gerarchica dei certificati X509, in cui i certificati autofirmati devono superare grandi ostacoli per essere riconosciuti nei browser, nei client di posta elettronica e nei lettori di PDF.
In parole povere, non esiste un modo pratico per garantire che nessuno pubblica una coppia di chiavi OpenPGP con gli stessi metadati. Si riduce semplicemente alla fiducia; o più specificamente che nessuno dovrebbe prendere metadati chiave sul valore nominale.
Perché qualcuno pubblicherebbe una chiave con gli stessi metadati?
Bene, quanto è noto il tuo indirizzo email? Qualcuno potrebbe presumere che stia comunicando con te se ha visto una chiave pubblica con il tuo nome o indirizzo email?
Suppongo che, a meno che tu non sia un giornalista o una persona politicamente esposta , questa era probabilmente un'applicazione o un sito web che la pensava ti stava facendo un favore, forse per una funzionalità dell'app o un servizio web che non hai mai utilizzato. Potrebbe non aver mai nemmeno affermato che lo avrebbe fatto, in quanto riteneva che avresti usato il servizio in modo sufficiente per prendere coscienza di questa "caratteristica".
Come GdD menziona, potrebbe trattarsi anche di un'applicazione in background con riconoscimento PGP che invia automaticamente una coppia di chiavi che non è stata memorizzata correttamente nella cache nel keystore principale.