tools: Fix option parsing for gpg-zip.
[gnupg.git] / README
diff --git a/README b/README
index 1a331fb..55b2f03 100644 (file)
--- a/README
+++ b/README
     card.  To see the fingerprints of the secondary keys, you can
     give the command twice; but this is normally not needed.
 
+    NEVER use the keyid to verify a key - always use the complete
+    fingerprint.  The keyid is just a convenience handle to identify a
+    key by a short semi-unique name which is trivial to spoof.  You
+    may want to put the line "keyid-format long" into your gpg.conf to
+    tell gpg to print the long keyid (which is still spoof-able).
+
     If you don't know the owner of the public key you are in trouble.
     Suppose however that friend of yours knows someone who knows someone
     who has met the owner of the public key at some computer conference.
 
     There are several ways to specify a user ID, here are some examples.
 
-    * Only by the short keyid (prepend a zero if it begins with A..F):
+    * By a fingerprint:
 
-       "234567C4"
-       "0F34E556E"
-       "01347A56A"
-       "0xAB123456
+       "1234343434343434C434343434343434"
+       "123434343434343C3434343434343734349A3434"
+       "0E12343434343434343434EAB3484343434343434"
+
+      The first one is a short fingerprint for PGP 2.x style keys.
+      The others are long fingerprints for OpenPGP keys.
 
-    * By a complete keyid:
+    * By a complete keyid (prepend a zero if it begins with A..F):
 
        "234AABBCC34567C4"
        "0F323456784E56EAB"
        "01AB3FED1347A5612"
        "0x234AABBCC34567C4"
 
-    * By a fingerprint:
-
-       "1234343434343434C434343434343434"
-       "123434343434343C3434343434343734349A3434"
-       "0E12343434343434343434EAB3484343434343434"
+    * By the short keyid:
 
-      The first one is a short fingerprint for PGP 2.x style keys.
-      The others are long fingerprints for OpenPGP keys.
+       "234567C4"
+       "0F34E556E"
+       "01347A56A"
+       "0xAB123456
 
     * By an exact string: