<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif">I see. That helps clear things up. Out of interest, can one edit the comment left by a mail program on a signature and or the format? I'd personally prefer to have the message signed after my message, so it would say start there, rather with my message inbetween. Looks a bit...untidy. However, if it's the only way, then so be it.</div>
</div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><div><b><font size="1" face="tahoma, sans-serif" color="#444444"><br></font></b></div><div><b><font size="1" face="tahoma, sans-serif" color="#444444">This message, and any attachments to it, may contain information that is privileged, confidential, copyrighted and exempt from disclosure under applicable law. If the reader of this message is not the intended recipient, you are notified that any use, dissemination, distribution, copying, or communication of this message is strictly prohibited. If you have received this message in error, please notify the sender immediately by return email and delete the message and any attachments. </font></b><br>
</div></div></div>
<br><br><div class="gmail_quote">On 9 June 2014 15:35, Adam Sampson <span dir="ltr"><<a href="mailto:ats@offog.org" target="_blank">ats@offog.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">Allan Irving <<a href="mailto:allanirving@allanirving.co.uk">allanirving@allanirving.co.uk</a>> writes:<br>
<br>
> What I see at the moment, when a message is just signed, is a wrapper<br>
> consisting of the encryption type the public key uses and then the key<br>
> itself towards the bottom. How does GPG prevent someone from copying this,<br>
> spoofing an email address and then signing a message?<br>
<br>
</div>The signature data at the bottom isn't your public key. It's [*] a hash<br>
of the message, encrypted with your private key. To verify the<br>
signature, the receiver decrypts the signature using your public key,<br>
and checks it matches the hash of the message they received.<br>
<br>
If someone copied the signature onto a different message, the hash of<br>
the new message wouldn't match the hash retrieved from the signature, so<br>
verification would fail.<br>
<br>
[*] This is simplified a bit, and there are other ways of doing digital<br>
signatures that have the same effect. See the GPG manual:<br>
  <a href="https://www.gnupg.org/gph/en/manual/x215.html" target="_blank">https://www.gnupg.org/gph/en/manual/x215.html</a><br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Adam Sampson <<a href="mailto:ats@offog.org">ats@offog.org</a>>                         <<a href="http://offog.org/" target="_blank">http://offog.org/</a>><br>
</font></span></blockquote></div><br></div>