w kwestii emaila chyba tylko przez TORa to może być bezpieczne (ale też nie w 100%).
To “nie w 100%” wynika np. z tego, że z Tora skorzystasz między swoim klientem/przeglądarką, a infrastrukturą usługodawcy (np. ProtonMaila). Ale już mail z Protona wysłany na jakiś inny serwer idzie zwykłym SMTP (z STARTTLS jak dobrze wiatr powieje). Nie słyszałem, żeby serwery mailowe implementowały Tora do komunikacji serwer-serwer.
Bo z tego, co rozumiem, to z pgp też metadane da się wygrzebać
Tak, OpenPGP jest dość “głośnym” protokołem. Najlepiej przenieść się na coś innego, jak Signal, albo Simplex. Szyfrowane maile są pewnym kompromisem w sytuacjach, w których mail musi być wspierany. A generalnie nie ma dobrego, szyfrowanego, prywatnego zastępnika maili, niestety.