<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Mar 28, 2014 at 5:02 AM, Lunar <span dir="ltr"><<a href="mailto:lunar@torproject.org" target="_blank">lunar@torproject.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Tora Tora Tora:<br>
<div class="">> OK, perhaps I have missed "the how" and "which" somewhere, but which<br>
> signature am I supposed to verify the new Tor 0.2.5.3 tarball against? I<br>
> tried the ones mentioned on Tor signing page and none seem to stick. A<br>
> typical message is:<br>
><br>
><br>
> # gpg --verify tor-0.2.5.3-alpha.tar.gz{.asc,}<br>
><br>
> gpg: Signature made Sun 23 Mar 2014 02:40:49 AM UTC using RSA key ID<br>
> 8D29319A<br>
> gpg: Good signature from "Nick Mathewson <<a href="mailto:nickm@alum.mit.edu">nickm@alum.mit.edu</a>>"<br>
> gpg:                 aka "Nick Mathewson <<a href="mailto:nickm@wangafu.net">nickm@wangafu.net</a>>"<br>
> gpg:                 aka "Nick Mathewson <<a href="mailto:nickm@freehaven.net">nickm@freehaven.net</a>>"<br>
> gpg:                 aka "[jpeg image of size 3369]"<br>
> gpg: WARNING: This key is not certified with a trusted signature!<br>
> gpg:          There is no indication that the signature belongs to the<br>
> owner.<br>
> Primary key fingerprint: B35B F85B F194 89D0 4E28  C33C 2119 4EBB 1657 33EA<br>
>      Subkey fingerprint: EF00 F369 1387 FCC5 8CD6  8E13 9103 97D8 8D29 319A<br>
<br>
</div>That's the correct signature. Quoting<br>
<a href="https://lists.torproject.org/pipermail/tor-talk/2014-March/032448.html" target="_blank">https://lists.torproject.org/pipermail/tor-talk/2014-March/032448.html</a>:<br>
<br>
    (I'm trying to take some load off of Roger's shoulders by doing<br>
    releases myself.  This means that the signatures on the release are<br>
    be made with my PGP key, not Roger's.  Please don't freak out.)<br>
<br>
Nick's key is listed on the first line of:<br>
<a href="https://www.torproject.org/docs/signing-keys.html" target="_blank">https://www.torproject.org/docs/signing-keys.html</a><br>
<span class=""><font color="#888888"><br>
--<br>
Lunar                                             <<a href="mailto:lunar@torproject.org">lunar@torproject.org</a>><br>
</font></span><br></blockquote><div> <br>See also the paragraph explaining the WARNING (from<br><a href="https://www.torproject.org/docs/verifying-signatures.html.en">https://www.torproject.org/docs/verifying-signatures.html.en</a> <br>
)<br>"Notice that there is a warning because you haven't assigned a trust
    index to this person. This means that GnuPG verified that the key made
    that signature, but it's up to you to decide if that key really belongs
    to the developer. The best method is to meet the developer in person and
    exchange key fingerprints."<br><br></div><div>Some notes from Mike Perry on the GPG web of trust at <a href="https://lists.torproject.org/pipermail/tor-talk/2013-September/030235.html">https://lists.torproject.org/pipermail/tor-talk/2013-September/030235.html</a><br>
<br></div><div>Are there any initiatives to remedy the problems, and do people have key signing meetups?<br></div></div></div></div>