<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Interesting update from GNUPG, they decided to implement TOFU in addition to Web of Trust. Admitting that in practice and usability considered, TOFU is a are secure trust model than the Web of Trust.<div class=""><br class=""></div><div class="">Bye bye PGP key signing parties?<br class=""><div class=""><br class=""><div class=""><blockquote type="cite" class=""><p style="margin-top: 7.96875px; font-family: 'Proxima Nova Regular', 'Segoe UI', Roboto, 'Droid Sans', 'Helvetica Neue', Arial, sans-serif; line-height: normal; widows: 1; background-color: rgb(255, 255, 255);" class="">In contrast to the <a href="https://en.wikipedia.org/wiki/Web_of_trust" style="font-weight: bold; text-decoration: none; color: rgb(0, 147, 221) !important;" class="">Web of Trust</a> (WoT), TOFU's security guarantees are rather weak. When using the WoT correctly, you can have high confidence that if GnuPG says a given key is controlled by a specific user, then it probably is. TOFU, on the other hand, is only able to detect when the key associated with an email address has changed. Despite this, TOFU will be more secure than the WoT for most users in practice. This is because using the WoT requires a lot of manual support, which most users never both with. In particular, you need to verify fingerprints and set the owner trust to take advantage of friend of friend verification.</p><p style="margin-top: 7.96875px; font-family: 'Proxima Nova Regular', 'Segoe UI', Roboto, 'Droid Sans', 'Helvetica Neue', Arial, sans-serif; line-height: normal; widows: 1; background-color: rgb(255, 255, 255);" class="">Happily you don't need to choose between TOFU and the WoT. It is possible to combine them using the tofu+pgp trust model. In this model, the trust level for a key under each model is computed and then the maximum is taken.</p></blockquote><a href="https://gnupg.org/blog/20151103-gnupg-in-october.html" class="">https://gnupg.org/blog/20151103-gnupg-in-october.html</a></div></div></div></body></html>