> Ну дак не ставьте подпись.

Грубо говоря, в алгоритмах по тиму PGP я или явно засвечиваю что я - это я, и каждый дятел со сниффером знает что "это - сообщение от Васи, хоть и не видно что там". Или получатель не получает никаких гарантий этого самого, ровно так же как и все остальные. А это уже как-то не прикольно. Но есть способы лучше.

> Или подставьте подпись ключём, открытая часть которого
> известна только реципиенту.

Если у меня есть уже есть секретное дупло через которое я перекинул ключ - зачем мне тогда вообще публичная криптография? Я могу и сообщение через то же дупло перекинуть. Зачем с PGP заморачиваться? В этой схеме криптография не дает никакого выигрыша -> FAIL.

См. как у Бернштейна сделано ("authenticated encryption") в его CryptoBox()- явно симпатичнее. Обеспечивается защита содержимого: менять плэйнтекст могут только отправитель и получатель. Расшифровать может только получатель, что не дает всем остальным понять - имеет ли сообщение какой-то смысл или является фэйком. Кто угодно может декларировать какие угодно ключи, поэтому факт указания публичного ключа в пакете ничего не доказывает. Кто угодно может указать какой угодно публичный ключ. Но только тот у кого есть секретная половинка отправителя может зашифровать это правильно. А о том что зашифровано правильно и расшифровывается корректно - может узнать только тот, у кого есть секретная половинка ключа получателя. Ничему не противоречит если некто пошлет неправильный пакет который заявляет ключи отправителя и получателя но не является таковым. Настоящий получатель знающий свой приватный ключ и публичный ключ отправителя - получит ошибку расшифровки и будет в курсе что это левак. Все остальные однако не знают - подошли ключи или нет. И поэтому понятия не имеют - Вася ли это слал Пете или вообще Коля какой-то левый пакет скроил. Приписать отправителю что либо нельзя. Даже заявления получателя ничего не доказывают: получатель сам мог скроить содержимое, т.к. он знает shared secret так же как получатель.

> Тут проблема не в подписи, а в том, что по открытым каналам
> легко проследить как шло письмо и кто его собственно послал.

Если заклиниваться на замшелом г-не, типа e-mail и PGP - да. А у Берштейна все намного фундаментальнее. Подумай о том что его алгоритмы и быстрые и нормально относятся к шифрованию например, отдельных [в том числе и сетевых] пакетов, например. И ключи короткие (по сравнению с RSA), не в ущерб стойкости. Если RSA ключ напечатать с клавиатуры мучение, то ключ 25519 при нужде вполне реально уже - 256 битов все-таки не 2048.

> Но тут может поможет tor

Не панацея. И у него своей криптографии навалом. А exit node, если гейтоваться в чистый интернет - видит все не хуже вражеских роутеров и нет никаких гарантий что это сильно лучше.

> с однодолларовой vds-ки купленной на виртуальную visa-карту,
> заведённую на sim-карту с Украины (где не проверяют личность).

А ничего что сим-карта украины вне украины светит себя как белая ворона в стае черных? Но на самом деле все это решаемо. Только вот нужда ставить криптографии такие костыли - намекает что ваш email и pgp окаменелое г-но мамонта. И, как видите, вы вместо того чтобы пользоваться нормальной криптографией - цепляетесь за всякий булшит. С аргументами про стандарты, совместимость, etc, etc. Just as planned.