Unter Debian 8 Jessie hatte ich aus dem contrib-Archiv das Paket torbrowser-launcher installiert. Das installiert für jeden Nutzer den anonymisierenden Tor Browser in ~/.local/share/torbrowser und hält ihn aktuell.

Your Tor Browser is out of date. Upgrading from 6.0.8 to 6.5.

Jetzt wurde der Tor Browser 6.5 veröffentlicht und der lokal installierte in Version 6.0.8 sollte beim Programmstart automatisch aktualisiert werden. Wurde er aber nicht, nach dem Herunterladen erschien die Meldung:

SIGNATURE VERIFICATION FAILED! You might be under attack, or there might just be a networking problem. Click Start try the download again.

SIGNATURE VERIFICATION FAILED!

You might be under attack, or there might just be a
networking problem. Click Start try the download again.

Auf meiner Seite konnte ich kein Netzwerkproblem feststellen und ich habe auch nicht den Eindruck, daß ich gezielt angegriffen würde. Ein erneuter Versuch mit »Start« führt zu der gleichen Fehlermeldung. Also Recherche: Im Blogpost mit der Ankündigung des Tor Browsers 6.5 fand ich keine Hinweise auf dieses Problem, auch nicht in den Kommentaren.

Allerdings wurde ich dann in den Github-Issues vom torbrowser-launcher fündig, dort hatte jemand bereits das Problem und andere Nutzer eine Lösung beschrieben: Offensichtlich wurde der OpenPGP-Signing-Subkey für den Tor Browser erneuert, torbrowser-launcher kennt den aber noch nicht. Um das zu beheben:

gpg --homedir "$HOME/.local/share/torbrowser/gnupg_homedir/" --refresh-keys --keyserver pool.sks-keyservers.net

Nach einem erneuten Start des Tor Browser lädt er dann die aktuelle Version herunter und installiert sie problemlos.