Beim Austausch der öffentlichen Schlüssel ist bei einem Kontakt folgendes Problem aufgetreten:
Als wir die Fingerprints per Telefon verglichen, stellten wir fest, dass der Fingerprint meines öffentlichen Schlüssels beim Empfänger um 8 Stellen (Hexadezimal) zu kurz war.
Der Fingerprint des öffentlichen Schlüssels, den ich von meinem Gegenüber erhielt, war allerdings richtig und auch vollständig.
Als wir die Fingerprints per Telefon verglichen, stellten wir
fest, dass der Fingerprint meines öffentlichen Schlüssels beim
Empfänger um 8 Stellen (Hexadezimal) zu kurz war.
handelt es sich bei den „zusätzlichen“ Stellen auf der einen Seite um die Schlüssel-ID?
es handelt sich bei den !„fehlenden“! Stellen auf der einen
Seite um den Fingerprint des öffentlichen Schlüssls.
die Schlüssel-ID eines OpenPGP-Schlüssels (v4) ist per definitionem identisch zu den letzten acht Hex-Zeichen des Fingerprints. Es wäre daher vorstellbar, dass Programme den Fingerprint um die Schlüssel-ID gekürzt anzeigen (ich kenne die kommerziellen PGP-Implementierungen nicht so).
es handelt sich jeweils um das mittlerweile kommerzielle PGP-Projekt.
Da beide Programme schonmal (zum Beispiel beim ersten ausgetauschten Schlüssel) vollständige Fingerprints angezeigt haben, halte ich es für ausgeschlossen, dass eines der Programmer grundsätzlich mit kürzeren Fingerprints arbeitet.
Ist die Schlüssel-ID tatsächlich im Fingerprint enthalten? Wäre das nicht sinnlos? Dann könnte man ja ohne weiteres einen Teil des Fingerprints ablesen - somit wäre dieser Teil des Fingerprints ja zum Verifizieren des Schlüssels unbrauchbar und müsste gar nicht erst erzeugt werden…
Liegt er vielleicht auf einem Schlüsselserver, so dass wir ihn uns ansehen können?
Ist die Schlüssel-ID tatsächlich im Fingerprint enthalten?
Bei OpenPGP (Schlüssel der Version 4) ist die Schlüssel-ID definiert als der letzte Teil des Fingerprint. Ist dir das noch nicht aufgefallen, dass der Fingerprint immer mit der Schlüssel-ID endet?
Wäre das nicht sinnlos?
Die Schlüssel-ID für sich gesehen hat keinen Sinn, außer eine kurze Bezeichnung für den alltäglichen Gebrauch zu liefern. Man kann auch ohne Schlüssel-IDs leben und immer den vollständigen Fingerprint benutzen - oder gleich den ganzen Schlüssel.
Dann könnte man ja ohne weiteres einen Teil des Fingerprints
ablesen
Der Fingerprint ist ein Hash des öffentlichen Schlüssels und kann daher vollständig „ohne Weiteres“ abgelesen werden - das ist ja gerade der Witz.
somit wäre dieser Teil des Fingerprints ja zum Verifizieren
des Schlüssels unbrauchbar und müsste gar nicht erst erzeugt
werden…
Warum? Die Schlüssel-ID allein ist unzureichend und, da sie im Fingerprint enthalten ist, als zusätzliche Information überflüssig - aber unbrauchbar ist sie nicht.
Als wir die Fingerprints per Telefon verglichen, stellten wir
fest, dass der Fingerprint meines öffentlichen Schlüssels beim
Empfänger um 8 Stellen (Hexadezimal) zu kurz war.