<div dir="ltr"><div>Hi everyone,</div><div><br></div><div>I propose distributing the Tor developer keys inside the Fedora package distribution-gpg-keys.[1]  This would give most Linux users a trustworthy chain of signatures from their own distributor (e.g. CentOS or Fedora) to Tor project downloads.<br></div><div><br></div><div>I am happy to take care of this, although I am also happy if somebody who is more involved with Tor than me takes this on.  I wrote a shell script (attached) to acquire and organise the keys based on <a href="https://2019.www.torproject.org/include/keys.txt">https://2019.www.torproject.org/include/keys.txt</a>.  My script would install the following keys under /usr/share/distribution-gpg-keys/tor:</div><div><br></div><div>Arm_releases/Damian_Johnson.gpg<br>Tails_live_system_releases/The_Tails_team.gpg<br>TorBirdy_releases/Sukhbir_Singh.gpg<br>Tor_Browser_releases/Arthur_Edelstein.gpg<br>Tor_Browser_releases/Georg_Koppen.gpg<br>Tor_Browser_releases/Mike_Perry.gpg<br>Tor_Browser_releases/Nicolas_Vigier.gpg<br>Tor_Browser_releases/The_Tor_Browser_Developers.gpg<br>Tor_source_tarballs/Nick_Mathewson.gpg<br>Tor_source_tarballs/Roger_Dingledine.gpg<br>Torsocks_releases/David_Goulet.gpg<br>deb.torproject.org_repositories_and_archives/Tor_Project_Archive.gpg<br>older_Tor_tarballs/Nick_Mathewson.gpg<br>other/Peter_Palfrader.gpg<br></div><div><br></div><div>Unless someone else volunteers (please do!), I will set up a weekly job to run the script and alert me to any changes.<br></div><div><br></div><div>Can anyone see any potential problems with this plan?</div><div><br></div><div>The most obvious question is: how do I know that I am distributing unadulterated keys?  I think the answer is that I don't!  But any attack would have to affect a large group of people, and would be detected quickly as long as many people are looking at the distribution-gpg-keys package.  If this solution is unsatisfactory, then perhaps someone who is more involved with the Tor developers -- and hence able to directly check the keys -- ought to take this on.<br></div><div><br></div><div>[1] See <a href="https://github.com/xsuchy/distribution-gpg-keys">https://github.com/xsuchy/distribution-gpg-keys</a> and <a href="https://rpmfind.net/linux/RPM/fedora/updates/32/x86_64/Packages/d/distribution-gpg-keys-1.39-1.fc32.noarch.html">https://rpmfind.net/linux/RPM/fedora/updates/32/x86_64/Packages/d/distribution-gpg-keys-1.39-1.fc32.noarch.html</a><br></div></div>