Je me posais la question suivante : lorsqu'on télécharge une clef PGP depuis un serveur PGP (gpg --recv-key 0x9223052 par exemple), est-on sûr que c'est la clef 0x9223052 ?

Note pour les gens pressés que je parle du KeyID et pas de la personne possédant la clef.

La FAQ PGP indique qu'on est capable de forger des clefs pour une fingerprint donnée, ou un KeyID donné, ou un Userid donné mais pas pour tous ces composants à la fois.

On ne peut donc être sûr d'avoir télécharger la bonne clef que si le KeyID, la fingerprint et la taille correspondent (on doit donc les connaître avant de la télécharger) à ce qu'on s'attend. Il est également bien de vérifier que la clef est auto-signée par son propriétaire.