Muss man jedem einzelnen Kontakt den eigenen Schlüssel vorab manuell (z.B. per Mail) zukommen lassen, damit derjenige einem verschlüsselte Nachrichten schicken kann?
Ihre Antwort: Ja, denn der öffentliche Schlüssel des anderen ist zwingend erforderlich, damit man verschlüsseln kann.
Der Normalfall ist, dass man sich ein Schlüsselpaar erzeugt und den öffentlichen Schlüssel auf die Keyserver hochlädt. Dort kann ihn – wenn er die E-Mail-Adresse enthält – jeder finden, von dort importieren und dann verwenden. Man kann also auch ohne vorherigen Kontakt verschlüsselt angeschrieben werden (wie der Sender sicher sein kann, dass er für den richtigen Schlüssel verschlüsselt, ist eine andere Sache; das Mitsenden als Dateianhang ist jedenfalls nicht unbedingt sicherer).
Man kann allerdings seinen öffentlichen Schlüssel durchaus als Datei anhängen, wenn man jemanden erstmals verschlüsselt anschreibt. Das macht es dem Empfänger am einfachsten, den Schlüssel zu importieren. Enigmail bietet zudem die Möglichkeit, das eigene Zertifikat automatisch an alle Mails ranzuhängen; das ist aber im allgemeinen wenig sinnvoll. Was man statt dessen machen sollte: Einen Link auf die Schlüsseldatei (auf einem Webserver oder Keyserver) und die long ID oder den Fingerprint des Schlüssels in die Textsignatur der eigenen Mail aufnehmen.
Es mag Fälle geben, in denen es nicht erwünscht ist, dass ein Zertifikat auf den Keyservern landet. Verhindern lässt sich das allerdings nicht wirksam: Jeder kann das Zertifikat hochladen, nicht nur der Besitzer. Und das kann sogar gut gemeint sein (vor allem, wenn jemand den Schlüssel signiert hat). In diesem Fall muss man ggf. den Schlüsselbesitzer unverschlüsselt anschreiben und um Zusendung des Zertifikats bitten.