<blockquote style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;" class="gmail_quote">A secure session id?  No, all that guarantees is that your current<br></blockquote><div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
conversation is private.  It does *not* guarantee that the fingerprint<br>you received is actually the correct one.</blockquote><div><br></div></div>I'm trying to wrap my head around this one.  If the session key was ultimately derived from your private diffie-hellman generator value, and a 
<span style="font-style: italic;">signed</span> public diffie-hellman value from the other party, then this would seem to indicate that only a person who actually has the private key from which a fingerprint is derived could have produced that session key.  If you call up your friend and recognize his voice, and he verifies that session key, he has to be the real owner of the private key that produces the fingerprint that you think he has.  If that fingerprint wasn't really his, how would he know that session key?
<br><br>Where is this rationale broken?<br><br>Thanks,<br>Clay<br>