<div dir="ltr">Update: I was able to verify the pgp signature on the sha512 file with the public key. The problem was that I needed to check the fingerprint of the public key and certify myself that fingerprint. I retrieved the fingerprint from: <a href="https://www.tug.org/tug2016/slides/preining.pdf">https://www.tug.org/tug2016/slides/preining.pdf</a> on page 38 (Key fingerprint = C78B 82D8 C795 12F7 9CC0 D7C8 0D5E 5D91 06BA B6BC).<div><br></div><div>Since the fingerprint of the public key is the same as the one retrievable from another trusted source (the public pdf), I was able to tell Gpg4win that the public key was valid and I validate the public key. In that way, checking the sha512 file and its signature:</div><div><br></div><div><p style="margin:0px">Verified ‘install-tl-windows.exe.sha512’ with ‘install-tl-windows.exe.sha512.asc’: <br><span style="font-weight:600">Valid signature by </span><a><span style="font-weight:600;text-decoration-line:underline;color:rgb(35,38,41)">tex-live@tug.org</span></a></p><p style="margin:0px"><br></p><p style="margin:0px">What I first missed is that I needed to create a personal key in order to manually validate the texlive public key with the fingerprint.</p><p style="margin:0px"><br></p><p style="margin:0px">Best</p><p style="margin:0px"><br></p><p style="margin:0px">Andrea</p></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il giorno dom 18 giu 2023 alle ore 12:59 Andrea GINI <<a href="mailto:andrea.gini@sns.it">andrea.gini@sns.it</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div dir="ltr" class="gmail_attr"><font color="#741b47">Il giorno sab 17 giu 2023 alle ore 11:31 Siep Kroonenberg <<a href="mailto:siepo@bitmuis.nl" target="_blank">siepo@bitmuis.nl</a>> ha scritto:</font></div><div dir="ltr" class="gmail_attr"><font color="#741b47">> This link points to an automatically selected mirror</font></div><div dir="ltr" class="gmail_attr"><font color="#741b47">> <a href="https://mirror.ctan.org/systems/texlive/tlnet/install-tl-windows.exe" rel="noreferrer" target="_blank">https://mirror.ctan.org/systems/texlive/tlnet/install-tl-windows.exe</a></font></div><div><br></div><div>Ok, now I know that the link automatically downloads from a mirror.</div></div><div>Update: Windows defender continues to report the installer as a precise trojan (Trojan:Win32/Wacatac:B!ml). VirusTotal only reports 1 threat over all the other scanners. For Malwarebyte the installer is clean.</div><div><br></div><div><font color="#741b47">Il giorno ven 16 giu 2023 alle ore 15:27 Norbert Preining <<a href="mailto:norbert@preining.info" target="_blank">norbert@preining.info</a>> ha scritto:<br></font></div><div><font color="#741b47">> In addition, the installers are signed with our GPG key, that allows you<br>> to verify the integrity.</font><br><br></div><div>I'm on windows and I'm not literate enough about certificates. I've installed Gpg4win and downloaded the installer, the sha512 file, the pgp file related to the sha512 and the pgp file called texlive.</div><div>The last one is the same as loading the key from the server inside Gp4win searching for Tex Live or for <a href="mailto:tex-live@tug.org" target="_blank">tex-live@tug.org</a> but Gpg4win reports that the trust level is unknown.</div><div><br></div><div>If I verify the sha512 file and its signature, Gpg4win reports:</div><div><span>Verified ‘install-tl-windows.exe.sha512’ with ‘install-tl-windows.exe.sha512.asc’: </span><span>The certificate could not be certified. </span><span style="font-weight:600">Error</span><span>: 1</span></div><div><p style="margin:0px"><span style="text-decoration-line:underline;color:rgb(35,38,41)">TeX Live Distribution <<a href="mailto:tex-live@tug.org" target="_blank">tex-live@tug.org</a>> (0D5E 5D91 06BA B6BC) </span>The used key is not certified by you or any trusted person.</p><p style="margin:0px"><br></p><p style="margin:0px">This is very possible due to my ignorance on certificates :P</p><p style="margin:0px">I followed a quasi-tutorial for checking the iso of a linux distro, but Gpg4win in the first place reports that the user id for texlive.asc is "not certified" when I load the certificate (maybe I shouldn't have imported the texlive.asc but the key needs to be retrieved directly from a server?).</p><p style="margin:0px"><br></p><p style="margin:0px">The SHA512 file and the SHA512 computed for the installer are indeed identical. Is the PGP validation that is new to me.</p><p style="margin:0px"><br></p></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il giorno sab 17 giu 2023 alle ore 11:31 Siep Kroonenberg <<a href="mailto:siepo@bitmuis.nl" target="_blank">siepo@bitmuis.nl</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Sat, Jun 17, 2023 at 11:17:53AM +0200, Andrea GINI wrote:<br>
> I didn't quite understand the last sentence. I downloaded the installer<br>
> directly from <a href="https://www.tug.org/texlive/windows.html" rel="noreferrer" target="_blank">https://www.tug.org/texlive/windows.html</a>.<br>
<br>
This link points to an automatically selected mirror:<br>
<a href="https://mirror.ctan.org/systems/texlive/tlnet/install-tl-windows.exe" rel="noreferrer" target="_blank">https://mirror.ctan.org/systems/texlive/tlnet/install-tl-windows.exe</a><br>
<br>
-- <br>
Siep Kroonenberg<br>
</blockquote></div></div>
</blockquote></div>