إن التوقيع رقمي هو عملية يُتحقَّق من خلالها أن حزمة معينة قد تم توليدها من مطوريها ولم يتم التلاعب بها. نوضح أدناه سبب أهميتها وكيفية التحقق من أن متصفح تور الذي تقوم بتنزيله هو المتصفح الذي أنشأناه ولم يتم تعديله من قبل بعض المهاجمين.

كل ملف في صفحة تنزيلنا يكون مصحوبا بملف يسمى "التوقيع" بنفس اسم الحزمة والامتداد "‎.asc". إن الملفات ‎.asc هذه هي توقيعات OpenPGP. إنها تمكنك من التحقق أن الملف الذي نزّلته هو بالضبط ما كنا ننوي إيصاله إليك. قد يختلف هذا من متصفح لآخر، ولكن بشكل عام يمكنك تنزيل هذا الملف بالضغط على الزر الأيمن للفأرة فوق الرابط "التوقيع" وتحديد الخيار "حفظ الملف باسم".

مثلا، يكون tor-browser-windows-x86_64-portable-13.0.1.exe مصحوبا بـtor-browser-windows-x86_64-portable-13.0.1.exe.asc. هذه أمثلة لأسماء الملفات ولن تتطابق تماما مع أسماء الملفات التي تقوم بتنزيلها.

سنريك الآن كيف يمكنك التحقق من التوقيع الرقمي للملف المُنزَّل على أنظمة تشغيل مختلفة. لاحظ أن التوقيع يتم تأريخه من اللحظة التي يتم فيها توقيع الحزمة. لذلك، كل مرة يُرفع فيها ملف جديد يتم توليد توقيع جديد بتاريخ مختلف. طالما أنك تحققت من التوقيع، لا يجب عليك أن تقلق من كون التاريخ الوارد قد يكون مختلفا.

تثبيت GnuPG

قبل أي شيء تحتاج إلى أن يكون عندك GnuPG مثبتا قبل أن تتمكن من التحقق من التواقيع.

لمستخدمي ويندوز :

إذا كنت تستخدم ويندوز، نزّل Gpg4win وقم بعملية التثبيت.

لأجل تأكيد التوقيع، ستحتاج إلى كتابة القليل من الأوامر في سطر الأوامر الخاص بنظام ويندوز cmd.exe.

لمستخدمي نظام ماكْ:

إذا كنت تستخدم نظام ماكْ، فيمكنك تثبيت GPGTools.

لأجل التحقق من التوقيع، سوف تحتاج إلى كتابة بعض الأوامر في نافذة الأوامر (أسفل "التطبيقات").

لمستخدمي جْنو لينَكْسْ GNU/Linux:

اذا كنت تستخدم جْنو-لينَكْسْ، فعلى الأرجح أن GnuPG موجود مسبقا على نظامك، لأنه يكون مثبتا في أغلب توزيعات لينَكْسْ.

من أجل أن تتحقق من التوقيع، ستحتاج إلى كتابة القليل من الأوامر في نافذة الطرفية (Terminal). إن كيفية القيام بذلك يعتمد على توزيعك التي تستخدم.

جلب مفتاح مطوري تور

يُوقِّع فريق متصفح تور إصدارات متصفّح تور. قم باستيراد مفتاح توقيع مُطوري متصفّ تور (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

هذا سيظهر لك شيئا مثل:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>

ملاحظة: قد يختلف الناتج الخاص بك إلى حد ما عما ورد أعلاه (على سبيل المثال، تواريخ انتهاء الصلاحية)، ولكن يجب أن ترى المفتاح المستورد بشكل صحيح.

إذا تلقيت رسالة خطأ، فقد حدث خطأ ما ولا يمكنك المتابعة حتى تكتشف سبب عدم نجاح ذلك. قد تتمكن من استيراد المفتاح باستخدام قسم الحل البديل (باستخدام مفتاح عمومي) بدلا من ذلك.

بعد استيراد المفتاح، يمكنك حفظه في ملف (عبر التعرف عليه من بصمته هنا):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

يؤدي هذا الأمر إلى حفظ المفتاح في ملف موجود في المسار ‎./tor.keyring، أي في المجلد الحالي. إذا لم يكن ‎./tor.keyring موجودا بعد تشغيل هذا الأمر، فقد حدث خطأ ما ولا يمكنك المتابعة حتى تكتشف سبب عدم نجاح ذلك.

التحقق من التوقيع

للتحقق من توقيع الحزمة التي نزَّلتها، ستحتاج إلى أن تُنزِّل ملف التوقيع "‎.asc" المقابل لها، إضافة إلى ملف التثبيت نفسه، والتحقق منه بأمر يطلب من GnuPG التحقق من الملف الذي نزَّلته.

تفترض الأمثلة في الأسفل أنك نزّلت هذين الملفَين لمجلد ”التنزيلات“ الخاص بك. لاحظ أن هذه الأوامر تستخدم أمثلة لأسماء الملفات وستكون أسماء الملفات الخاصة بك مختلفة: ستحتاج إلى استبدال أسماء ملفات الأمثلة بالأسماء الدقيقة للملفات التي قمت بتنزيلها.

لمستخدمي ويندوز (غيّر x86_64 إلى i686 إذا كانت عندك حزمة لمعالج ذو 32-بِتْ):

gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe

لمستخدمي نظام ماكْ:

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg

لمستخدمي جْنو/لينَكْسْ (غيّر x86_64 إلى i686 إذا كانت عندك حزمة لمعالج ذو 32-بِتْ):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz

يجب أن تحتوي نتيجة الأمر على:

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

إذا تلقيت رسائل خطأ تحتوي على "لا يوجد مثل هذا الملف أو الدليل" (No such file or directory)، فإما أن هناك خطأ ما في إحدى الخطوات السابقة، أو نسيت أن هذه الأوامر تستخدم أسماء الملفات كأمثلة وستكون أوامرك مختلفة قليلاً.

تحديث المفتاح PGP

قم بتشغيل الأمر التالي لتحديث مفتاح توقيع تور في حلقة مفاتيحك المحلية انطلاقا من خادم المفاتيح. سيؤدي هذا أيضا إلى جلب المفاتيح الفرعية الجديدة.

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

الحل البديل (باستخدام مفتاح عمومي)

إذا واجهتك أخطاء لا تستطيع حلها، يمكنك أن تجرب بدلا من ذلك تنزيل واستخدام هذا المفتاح العمومي. وفى هذه الحالة يمكنك أن تستخدم هذا الأمر:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

يوجد مفتاح مُطوِّري متصفح تور أيضا في keys.openpgp.org ويمكن تنزيله من https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. إذا كنت تستخدم نظام ماكْ أو جْنو-لينَكْسْ، فيمكن أيضا جلب المفتاح عن طريق تشغيل الأمر التالي:

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

ربما تريد أيضا أن تتعلم المزيد عن GnuPG.