Asheesh Larioa egy régen sejtett problémát sikerült demonstrálnia a rövd GnuPG kulcs azonosítókkal (short key ID) kapcsolatban. A kulcsok könnyebb azonosításához használt 32-bit hosszú azonosító ugyanis nyilvánvalóan rövid ahhoz, hogy az ütközéseket - vagyis azt, hogy két különböző kulcs azonosítója megegyezzen - elkerüljük. Larioa most írt egy szkriptet, mellyel állítása szerint 3 óra alatt képes választható rövid azonosítóval rendelkező kulcsot kreálni egy buta netbookon. 

A probléma természetesen elvi szinten nem befolyásolja bármely PGP implementáció biztonságát, hiszen a teljes, azonosítók még mindig egyértelműen megkülönböztetik a kulcsokat. Gyakorlati szempontból viszont aggodalomra adhat okot, hogy a 

gpg --recv-key 70096AD1

parancs jelenleg két kulcsot is importál. Még rosszabb hír, hogy a kulcsszerverek kizárólag a rövid azonosító alapján képesek keresni, így a teljes azonosító ismerete sem segít. Ráadásul - szemben pl. a comp.security.pgp GyIK-ben állítottakkal - mindkét kulcs "rendes" kulcsméretekkel rendelkezik, így nem lehet olyan könnyen kiszúrni, melyikük az igazi.

Bár a generáló szkript egyelőre nem nyilvános, egy kis elméleti háttér illetve rokon implementációk birtokában nem tűnik vészesen bonyolultnak egy saját program összerakása sem. 

Megoldásként Larioa egy olyan foltot javasolt, ami lehetővé teszi a teljes azonosító szerinti keresést a kulcsszervereken.