<div dir="ltr"><div>Hi all,</div><div><br></div><div>I was setting up a new computer (so I have no <i>existing</i> trusted gpg installation to verify a signature), and I was attempting to follow the instructions to perform an integrity check on the <a href="https://www.gnupg.org/download/">2.4.8 tarbar on gnupg.org</a>.  The instructions state:</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">If you are not able to use an old version of GnuPG, you can still
verify the file's SHA-1 checksum.  This is less secure, because if
someone modified the files as they were transferred to you, it
would not be much more effort to modify the checksums that you see
on this webpage.  As such, if you use this method, you should
compare the checksums with those in release announcement.  This is
sent to the gnupg-announce mailing list (among others), which is
widely mirrored.  Don't use the mailing list archive on this
website, but find the announcement on several other websites and
make sure the checksum is consistent.  This makes it more difficult
for an attacker to trick you into installing a modified version of
the software.
</blockquote><div>However, I cannot locate <a href="https://dev.gnupg.org/source/gnupg/browse/master/NEWS">any release announcement for 2.4.8</a>; the NEWS file just goes straight from 2.4.6 to 2.5.0.  All I can find online anywhere is <a href="https://www.reddit.com/r/GnuPG/comments/1lyd3ot/no_announcement_for_gnupg_248/">a Reddit thread</a> of someone asking why there was no release announcement and not getting an answer.</div><div><br></div><div>Is there another source I can reference for the checksum?  As it stands, it looks like I might have to install an older version for which I can find a release announcement, then use the older version to validate the signature on the newer release.</div><div><br></div><div>Thanks,</div><div>Andrew</div></div>