我希望在我的电子邮件中告诉收件人我使用GnuPG,为此,我会在电子邮件签名中我的地址下方简单地添加一行“GnuPG密钥0x14102F..”。然而,我经常看到人们还提供指纹。这是一个好主意吗?我没有看出任何理由。如果收件人有我的密钥ID,他可以去密钥服务器下载我的公钥,并用它来验证我的签名和/或加密邮件。那么为什么需要指纹呢?我想知道“良好实践”是什么。
实际上,我发现只提供指纹是期望的方法,参见http://lists.gnupg.org/pipermail/gnupg-users/2009-January/035204.html。它也包含密钥ID,因此不必提供该信息。密钥ID不唯一的问题在多个地方都有提到,例如http://www.asheesh.org/note/debian/short-key-ids-are-bad-news.html。指纹确实也不是唯一的,但它很少会出现相同的情况。