KeyId oder Fingerprint?

[ststefa]

Ich verstehe das Eingabefeld "Optional: PGP-Key ID" im Formular irgendwie nicht. Ich interpretiere es so, als solle es ein 16-stelliger hex-Wert ("hex(16)") sein?

In meinem MacOS "GPG Keychain" Programm finde ich "Key ID", aber das ist hex(8).

Es gibt dort auch noch "Fingerprint", das ist hex(40).

Sind die ersten 16 Stellen des Fingerprints gemeint? Oder gibt es noch eine andere Darstellungsform der Key-ID, die das Programm nicht anzeigt?

Vielleicht wäre es gut, dass im Formular zu erläutern?

[vollkorn1982]

Moin @ststefa, die 8-stelligen IDs sollte man nicht mehr verwenden, da es inzwischen möglich ist dazu Kollisionen zu bauen: https://evil32.com/ Daher fordert das Formular 16-stellige IDs oder den ganzen Fingerprint. Da sollte "GPG Keychain" auf MacOS mal nachziehen.

Hast du nen Vorschlag das kurz und bündig einzufügen ohne das ganze Formular umzubauen? Pull Requests sind willkommen.

[ststefa]

Hm, das ist irgendwie verwirrend. Ich stelle gerade fest, dass das, was in MacGPG "Key ID" genannt wird, die letzten acht Stellen des Fingerprints sind.

Ich glaube, ich würde im Formular statt "PGP-Key ID (Key muss auf den Key-Servern sein)" einfach "PGP Key Fingerprint (40-stellig, muss publiziert sein)" schreiben, und keine Abkürzungen erlauben. Wird doch sowieso ge-copy-pasted. Ob ich da jetzt 16 oder 40 Stellen paste, was solls?

Ich würde Dir auch einen Pull-Request machen, hab ich aber noch nie. Pushe ich dazu einfach in Dein Repo in nen anderen Branch und mache dann einen PR von diesem in master?

[vollkorn1982]

Oh, die Begriffsdefinitionen des OpenPGP-Standards sind:
Fingerprint == 40-stelliger Hash des Keys in Hexadezimal
Short Key ID == 8 letzte Stellen des Fingerprints
Long Key ID == 16 letzte Stellen des Fingerprints

Für Pull Requests empfehle ich sich ein HowTo zu suchen. Zum Beispiel: https://help.github.com/en/github/collaborating-with-issues-and-pull-requests/creating-a-pull-request

Bezüglich deines Vorschlags nur den ganzen Fingerprint zuzulassen: Aus Convenience-Gründen wäre ich da deutlich offener und würde dabei bleiben auch die Long ID zuzulassen. Es hängt eben von den lokalen Tools ab, was die Person bequem zur Hand hat. Beide gelten als genügend eindeutig zur Identifizierung eines Keys.

[ststefa]

Oh, ok, danke. Aber das ist glaube ich genau das Problem mit solchen Definitionen: Niemand kennt sie. Das führt dann denke ich schnell zu Verwirrung und damit zu Ablehnung.

Vielleicht könnte man sonst "PGP Key (long id oder fingerprint, muss publiziert sein)" schreiben? Aber ich finde auch keine gute Seite, die "authorative" wäre und wo diese Begriffe in einfachen Worten erklärt sind.

Für eine richtige Erklärung (so wie Deine oben) fehlt ja (wenn ich richtig verstehe) der Platz. Oder vielleicht eine Erklärung als Fussnote?

[vollkorn1982]

GPG zu erklären ist in der Tat nicht Aufgabe des Formulars. Ich würde sagen, das könnte man in der verlinkten FAQ noch machen: ccc.de/faq

Zu deinem konkreten Vorschlag, wenn dann nicht "publizieren" denn ein Key ist auch publiziert, wenn der nur auf meiner privaten Webseite liegt. Und keine Links, die nicht ausgeschriebene URLs sind, denn das Formular muss auch ausgedruckt funktionieren.

[ststefa]

Ach so, ich hatte immer die Vorstellung, es gäbe allgemein anerkannte, öffentliche Keyserver. Sowas wie keys.openpgp.org. Und dort sollte mein Key publiziert sein. Aber dann sind mit "den Keyservern" evtl. garnicht öffentliche, sondern CCC-interne Keyserver gemeint?