<div dir="ltr"><span style="font-family:arial,sans-serif;font-size:13px">Hi Everyone,</span><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">(moving this email from the support-team ML to tor-dev as Runa suggested.)</div>
<div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">I am starting to work on a small GUI tool for file verification because I find guiding users through the verification process on Windows/Mac through the command line painful.</div>
<div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">Tools in use:</div><div style="font-family:arial,sans-serif;font-size:13px">- Python 3.3 or 2.7 (still didn't decide yet).</div>
<div style="font-family:arial,sans-serif;font-size:13px">- PyQT</div><div style="font-family:arial,sans-serif;font-size:13px">- python-gnupg-0.3.5</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div>
<font face="arial, sans-serif">I might also add a log window and a save log button to see what went wrong during the verification process.</font><br></div><div style="font-family:arial,sans-serif;font-size:13px"><br></div>
<div style="font-family:arial,sans-serif;font-size:13px">Attached is a draft design of how the tool would look like.<br></div><div><br></div><div><div>On Mon, Sep 23, 2013 at 7:12 PM, Lunar <<a href="mailto:lunar@torproject.org">lunar@torproject.org</a>> wrote:</div>
<div>>How do you think users will be able to install such a tool on their</div><div>>system? </div><div><br></div><div>There won't be any installation required It's a single executable.<br></div><div><br></div>
<div>>More importantly, how will they be able to ensure that it's</div><div>>not a tampered version?</div></div><div><br></div><div><br></div><div><div>I've thought about that and few things came to mind:</div>
<div>- Include the executable inside TBB.</div><div>- Host it somewhere and also provide a SHA-256 hash on a website or in a file.</div><div><br></div><div><br></div><div>But this is all an endless chain because lets say I download TBB, then download gpg to verify it but then how do I make sure that gpg it self wasn't tampered with? (assuming I don't have it installed already.)</div>
<div><br></div><div>Any help or suggestions would be much appreciated.</div></div><div><br></div><div>Thanks.</div><div><br></div>-- <br><div dir="ltr"><div style="font-family:arial;font-size:small">Sherief Alaa<br></div>
<div style="font-family:arial;font-size:small">pgp 0x8623B882</div></div>
</div>