<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small"><span style="font-family:Arial,Helvetica,sans-serif">On Thu, Dec 15, 2022 at 1:47 PM Ingo Klöcker <<a href="mailto:kloecker@kde.org">kloecker@kde.org</a>> wrote:</span><br></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
You still haven't answered this crucial question:<br>
How do you know that you have to ask <a href="http://intevation.de" rel="noreferrer" target="_blank">intevation.de</a> for the key with the <br>
fingerprint (or key ID) 847FC5C4337D9CDBD473B7A60967FD258D6414F9 if all you <br>
know is the fingerprint (or key ID)?<br></blockquote><div><br></div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small">I had doubts about this as well, but it was clarified that it is possible to include the signer's userid in the signature:</div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small"><a href="https://lists.gnupg.org/pipermail/gnupg-devel/2022-December/035200.html">https://lists.gnupg.org/pipermail/gnupg-devel/2022-December/035200.html</a><br></div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small">If you ask me, this should be the default option, because a signature without a name does not make much sense. The problem might be that a key may have several userid-s attached to it, and you don't know which one to use, unless the user tells you.</div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small">Basically, the signer should use the option "--sender", like this:</div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small">`gpg --sign -a --sender <a href="mailto:alice@intevation.de">alice@intevation.de</a> file-to-be-signed`<br></div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small">Then the verifier will know both the key ID and the userid (email address of the signer). From the userid you can derive that the domain of WKD well-known url is "<a href="http://intevation.de">intevation.de</a>".</div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small">This depends on the signer using the option "--sender" when he makes a signature, but he has to use it if he wants his signature to be verified automatically through the WKD well-known url (as well as publish his public keys on the WKD).</div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small">Regards,</div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small">Dashamir</div></div></div>