UPDATE: Dieser Artikel bezieht sich auf einen veralteten PGP-Key!

Weil ich entsprechendes gefragt wurde, hier eine kurze Erläuterung, was es mit dieser MP3 und mit diesen Noten unter Kontakt auf sich hat. Also:

Es handelt sich hierbei um einen Teil meines öffentlichen PGP-Schlüssels - um den Teil, der meinen Schlüssel eindeutig identifiziert; daher auch "Fingerabdruck" genannt. Der ist dazu da, dass jemand, der sich meinen gesamten Schlüssel heruntergeladen hat (sagen wir: Sie), vergleichen kann, ob er auch wirklich meinen (und nicht einen anderen Schlüssel) bekommen hat! Denn wer paranoid genug ist, muss auch mit einer Man-in-the-Middle-Attacke rechnen: Jemand erzeugt einen eigenen Schlüssel und gibt ihn Ihnen gegenüber als meinen aus. Das würden Sie nicht merken, und ich auch nicht - aber derjenige könnte unsere Mails lesen. (Genaueres: Folgen Sie diesem Link zum Lexikon und denken Sie sich statt der dortigen Botschaft nach Gallien meinen öffentlichen Schlüssel.)

Um das zu umgehen, könnten Sie aus dem Schlüssel, den Sie soeben heruntergeladen haben, mittels Ihrer PGP-Software einen "Fingerabdruck" generieren - eine 40stellige hexadezimale Zahl. Und ich stelle Ihnen nun meinen PGP-Fingerabdruck zur Verfügung, auf dass Sie vergleichen können! Hier ist er: 8DBA 6D2E 820B C51A B54E AC02 1515 BB56 9252 0257. Stimmt das überein, dann haben Sie tatsächlich meinen Schlüssel.

Soweit die Theorie. Tatsächlich aber könnte ja jemand, der einen Angriff wie oben auf meine Schlüssel plant, eventuell auch meine Seite gehackt haben - und dort (also hier!) den Fingerprint seines gefälschten Schlüssels platzieren! Und wieder würden zumindest Sie das nicht merken (können).

Und nun kommen wir zum Kern des Pudels: Wir brauchen eine fälschungssicherere Methode, diesen Fingerabdruck auszutauschen. Es gab an anderer Stelle bereits die Variante, den Fingerprint vorzulesen. Das ist schon nicht schlecht, denn eine Stimme ist recht charakteristisch - aber: Bei 40 Zeichen besteht eine gewisse Wahrscheinlichkeit, dass alle 16 Zeichen (0-9, A-F) hier wenigstens einmal erklingen - und das kann sich der Angreifer wieder zunutze machen und die Aufnahme einfach nach seinen Wünschen "umschneiden". Sprich: Er könnte die mit meiner Stimme vorgelesenen Buchstaben mit einem Schneideprogramm so umsortieren, dass sein gefälschter Fingerprint entsteht.

Daher müssen wir den Anspruch weiter erhöhen: Wir nutzen die Stimme - aber wir singen! ;-)

Sollte es nun einem Angreifer gelingen, meine Stimme aus dieser MP3 herauszuextrahieren und "mich" neue Buchstaben singen zu lassen, dazu noch die (neuen) Noten zu erstellen, und darüber hinaus das ganze hübsch jazzig zu gestalten - nun, von diesem Angreifer lasse ich mich gern hacken und verneige mich in Hochachtung...

(Dass hier im Hause des Sängers gerade ein neues Mikrofon und diverse andere Audiohardware angeschafft wurde, könnte freilich auch eine gewisse Rolle spielen.)