Когда я загружаю подпись и сжатый архив, получаю ключ с сервера ключей и проверяю подпись:
$ gpg2 --recv-key D1483FA6C3C07136
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) " imported
gpg: marginals needed: 3 completes needed: 1 trust model: pgp
gpg: depth: 0 valid: 2 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: Total number processed: 1
gpg: imported: 1
$ gpg2 --verify tor-browser-linux64-6.5_en-US.tar.xz.asc
gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg: using RSA key D1483FA6C3C07136
gpg: Good signature from "Tor Browser Developers (signing key) " [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
Subkey fingerprint: A430 0A6B C93C 0877 A445 1486 D148 3FA6 C3C0 7136
Итак, подпись хороша . Я предлагаю вам попробовать еще раз или выяснить, является ли это той же проблемой, о которой сообщалось в системе отслеживания проблем браузера Tor (, проблема 263 ).
Как я узнал, с помощью какого ключа проверять?
Сначала я провел проверку, не получая никакого ключа, и получил:
gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg: using RSA key D1483FA6C3C07136
gpg: Can't check signature: No public key
Затем я проверил D1483FA6C3C07136
по идентификаторам ключей, указанным в проекте Tor сайт и обнаружил, что это действительно правильный ключ: https://www.torproject.org/docs/signing-keys.html.en
Я считаю, что это настолько близко, насколько я могу узнать что архив не был изменен, не встретившись лицом к лицу с разработчиками и не попросив их лично передать мне USB-накопитель с программным обеспечением.