Little-t-tor

Achtung: Diese Anweisungen dienen der Überprüfung des Tor-Quellcodes. Please follow the right instructions to verify Tor Browser's signature.

Die digitale Signatur ist ein Prozess, der sicherstellt, dass ein bestimmtes packet von seinen Entwicklern generiert wurde und nicht manipuliert wurde. Im Folgenden erklären wir, warum das wichtig ist, und wie du überprüfen kannst, ob der Tor-Quellcode, den du herunterlädst, der von uns erstellte ist und nicht von einem Angreifer verändert wurde.

Jede Datei auf unserer Download-Seite wird von einer Datei mit der Bezeichnung "sig" begleitet, die den gleichen Namen wie das Paket und die Erweiterung ".asc" trägt. Diese .asc-Dateien sind OpenPGP-Signaturen. Sie ermöglichen es dir zu überprüfen, ob die Datei, die du heruntergeladen hast, genau diejenige ist, die du erhalten solltest. Dies ist je nach Webbrowser unterschiedlich, aber im Allgemeinen kannst du diese Datei herunterladen, indem du mit der rechten Maustaste auf den Link "sig" klickst und die Option "Datei speichern unter" wählst.

Zum Beispiel wird tor-0.4.6.7.tar.gz von tor-0.4.6.7.tar.gz.asc begleitet. Dies sind Beispiel-Datei-Namen und stimmen nicht genau mit den Datei-Namen überein, die du herunterlädst.

Wir zeigen nun, wie du auf verschiedenen Betriebssystemen die digitale Signatur der heruntergeladenen Datei überprüfen kannst. Bitte beachte, dass eine Signatur mit dem Datum versehen ist, an dem das Packet signiert wurde. Daher wird bei jedem Hochladen einer neuen Datei eine neue Signatur mit einem anderen Datum erzeugt. Solange du die Signatur überprüft hast, solltest du dir keine Sorgen machen, dass das gemeldete Datum sich ändern kann.

Installiert GnuPG

Zuerst musst du GnuPG installiert haben, bevor du Signaturen überprüfen kannst.

Für Windows-Nutzer:

Wenn du Windows benutzt, dann lade bitte Gpg4win herunter und installiere es.

Um die Signatur zu überprüfen, musst du ein paar Befehle in die Windows-Befehlszeile, cmd.exe, eingeben.

Für macOS Benutzer:

Wenn du macOS benutzt, kannst du die GPGTools installieren.

Um die Signatur zu überprüfen, musst du einige Befehle in das Terminal (siehe "Anwendungen") eingeben.

Für GNU+Linux-Nutzer:

Wenn du Linux verwendest, dann hast du GnuPG wahrscheinlich bereits auf deinem System, da die meisten Linux-Distributionen es vorinstalliert haben.

Um die Signatur zu überprüfen, musst du ein paar Befehle in ein Terminalfenster eingeben. Wie du das machst, hängt von deiner Distribution ab.

Holt den Schlüssel der Tor Entwickler

Roger Dingledine (0xEB5A896A28988BF5 und 0xC218525819F78451), Nick Mathewson (0xFE43009C4607B1FB) signieren Tor-Quelltext-Tar-Pakete.

Abruf des aktuellsten Schlüssels von Nick Mathewson:

‪$ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org

Dies sollte ungefähr wie folgt aussehen:

gpg: key FE43009C4607B1FB: public key "Nick Mathewson <nickm@torproject.org>" imported
gpg: insgesamt verarbeitet: 1
gpg: hinzugefügt: 1
pub   rsa4096 2016-09-21 [C] [expires: 2025-10-04]
      2133BC600AB133E1D826D173FE43009C4607B1FB
‪uid           [ unknown] Nick Mathewson <nickm@torproject.org>
sub   rsa4096 2016-09-23 [S] [expires: 2025-10-04]
sub   rsa4096 2016-09-23 [E] [expires: 2025-10-04]

Wenn du eine Fehlermeldung erhältst, ist etwas schief gelaufen und du kannst nicht fortfahren, bis du herausgefunden hast, warum es nicht funktioniert hat. Möglicherweise kannst du den Schlüssel stattdessen über den Abschnitt Workaround (mit einem öffentlichen Schlüssel) importieren.

Nachdem du den Schlüssel importiert hast, kannst du ihn in einer Datei speichern (hier per fingerprint identifizieren):

‪$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB

Dieser Befehl sorgt dafür, dass der Schlüssel in einer Datei unter dem Pfad ./tor.keyring, also in dem aktuellen Verzeichnis, gespeichert wird. Wenn ./tor.keyring nach dem Ausführen dieses Befehls nicht existiert, ist etwas schief gelaufen, und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat.

Überprüft die Signatur

Um die Signatur des heruntergeladenen Paketes zu überprüfen, musst du die entsprechende ".asc" Signaturdatei und die Installationsdatei herunterladen und mit einem Befehl, der GnuPG verwendet, die Datei überprüfen.

Die untenstehenden Beispiele gehen davon aus, dass du die Dateien im "Downloads"-Ordner gespeichert hast. Beachte, dass diese Befehle Beispiel-Datei-Namen verwenden und dass deine Datei-Namen anders lauten: Du wirst eine andere Version als 9.0 heruntergeladen haben und möglicherweise nicht die englische (en-US) Version gewählt haben.

Für Windows-Nutzer:

gpgv --keyring .\tor.keyring Downloads\tor-0.4.6.7.tar.gz.asc Downloads\tor-0.4.6.7.tar.gz

Für macOS Benutzer:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.7.tar.gz.asc ~/Downloads/tor-0.4.6.7.tar.gz

Für GNU+Linux-Nutzer:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.7.tar.gz.asc ~/Downloads/tor-0.4.6.7.tar.gz

Der Befehl sollte in etwa Folgendes ausgeben:

gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03
gpgv:                using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601
‪gpgv: Good signature from "Nick Mathewson <nickm@torproject.org>"

Wenn du Fehler-Meldungen bekommst, die 'No such file or directory' enthalten, ist entweder bei einem der vorherigen Schritte etwas schief gelaufen, oder du hast vergessen, dass diese Befehle Beispiel-Datei-Namen verwenden und deiner deshalb etwas anders lauten muss.

Umgehung (einen öffentlichen Schlüssel benutzen)

Wenn du Fehlern begegnest, die du nicht beheben kannst, hab keine Scheu diesen öffentlichen Schlüssel zu downloaden und anstelle dessen zu benutzen. Alternativ kannst du vielleicht den folgenden Befehl verwenden:

‪$ curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Der Schlüssel von Nick Mathewson ist auch auf keys.openpgp.org verfügbar und kann von https://keys.openpgp.org/vks/v1/by-fingerprint/2133BC600AB133E1D826D173FE43009C4607B1FB heruntergeladen werden.

Wenn du macOS oder GNU/Linux verwendest, kannst du den Schlüssel auch mit dem folgenden Befehl abrufen:

‪$ gpg --keyserver keys.openpgp.org --search-keys nickm@torproject.org

Du kannst außerdem mehr über GnuPG erfahren (englisch).