<div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">I think your confusion may have been between the long-lived public DSA<br>keys (from which your fingerprint is derived) vs. the short-lived public
<br>Diffie-Hellman keys (from which the session id is derived).</blockquote><div><br>
No, my confusion comes from thinking that the other party's fingerprint
played a part in the derivation of the session key, rather than playing
a part in the derivation of the <span style="font-style: italic;">signature</span>
of the session key.  If it played a part in the derivation of the
key itself, then by verifying that session key with you, your friend
would be verifying (a hash of) his fingerprint.  Hope I'm making
some sense here.<br>
<br>
Clay<br>
</div></div>