Asheesh Laroia má dva různé GnuPG klíče s kolizním ID 70096AD1. Jeden z nich je starší 1024bitový DSA klíč, ten novější je pak 4096bitový RSA. Pokud si tedy necháte stáhnout veřejný klíč z GPG serveru ( gpg --recv-key 70096AD1
), dostanete dva výsledky. Takto by někdo mohl snadno podvrhnout platný klíč na základě kolizního ID.
Asheesh tvrdí, že krátké GPG ID je až příliš krátké a není až tak těžké kolizi objevit. Hledání této konkrétní na jeho notebooku trvalo tři hodiny. Navrhuje proto přejít alespoň na 64bitové ID (například 0×37E1C17570096AD1), které by zajišťovalo větší bezpečnost. Už několik měsíců je nahlášen bug, který upozorňuje na problém zkrácených ID v GPG a hlavně na to, že při požadavku na klíč není možné zadat delší ID.
(Zdroj: Slashdot)