Die digitale Signatur ist ein Prozess, der sicherstellt, dass ein bestimmtes packet von seinen Entwicklern generiert wurde und nicht manipuliert wurde. Im Folgenden erklären wir, warum es wichtig ist, und wie du überprüfen kannst, ob das Tor-Programm, das du herunterlädst, dasjenige ist, das wir erstellt haben, und das nicht von einem Angreifer verändert wurde.

Jede Datei auf unserer Download-Seite wird von einer Datei mit dem gleichen Namen wie das Packet und der Erweiterung ".asc" begleitet. Diese.asc-Dateien sind GPG-Signaturen. Sie ermöglichen es dir zu überprüfen, ob die Datei, die du heruntergeladen hast, genau diejenige ist, die du erhalten solltest. Beispielsweise wird torbrowser-install-8.0.8_de-US.exe von torbrowser-install-8.0.8_de-US.exe.asc begleitet. Eine Liste, welcher Entwickler welches Packet signiert, findest du auf unserer Signaturschlüssel-Seite.

Wir zeigen nun, wie du auf verschiedenen Betriebssystemen die digitale Signatur der heruntergeladenen Datei überprüfen kannst. Bitte beachte, dass eine Signatur mit dem Datum versehen ist, an dem das Packet signiert wurde. Daher wird bei jedem Hochladen einer neuen Datei eine neue Signatur mit einem anderen Datum erzeugt. Solange du die Signatur überprüft hast, solltest du dir keine Sorgen machen, dass das gemeldete Datum sich ändern kann.

Windows

Zuerst musst du GnuPG installiert haben, bevor du Signaturen überprüfen kannst. Lade es von https://gpg4win.org/download.html herunter.

Sobald es installiert ist, importiere mit GnuPG den Schlüssel, der dein Packet signiert hat. Um die Signatur zu überprüfen, musst du ein paar Befehle in die Windows-Befehlszeile, cmd.exe, eingeben.

Das Tor-Browser-Team signiert die Versionen von Tor-Browser. Importiere seinen Schlüssel (0x4E2C6E8793298290), indem du cmd.exe startest und Folgendes eingibst:

gpg.exe --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Nachdem du den Schlüssel importiert hast solltest du verifizieren, dass der Fingerprint korrekt ist:

gpg.exe --fingerprint 0x4E2C6E8793298290

Folgendes sollte zu sehen sein:

pub   rsa4096/0x4E2C6E8793298290 2014-12-15 [C] [expires: 2020-08-24]
      Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
uid                   [ unbekannt] Tor Browser Entwickler (Signaturschlüssel) <torbrowser&at;torproject.org>
sub   rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [expires: 2020-09-12]
      Key fingerprint = 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Um die Signatur des heruntergeladenen Packets zu überprüfen, musst du auch die Datei ".asc" herunterladen. Angenommen, du hast das Packet und seine Signatur auf deinen Desktop heruntergeladen, dann führe Folgendes aus:

gpg.exe --verify C:\\Users\\Alice\\Desktop\\torbrowser-install-win64-8.0.8_en-US.exe.asc C:\\Users\\Alice\\Desktop\\torbrowser-install-8.0.8_en-US.exe

Bitte ersetze "Alice" durch deinen eigenen Benutzernamen.

Die Ausgabe sollte "Good signature" oder "Korrekte Unterschrift" lauten:

gpg: Signatur erstellt am Tue 12 Feb 2019 08:27:41 AM EST
gpg:                using RSA key EB774491D9FF06E2
gpg: Gute Signatur von "Tor Browser Entwickler (Signaturschlüssel) <torbrowser@torproject.org>" [unbekannt]
gpg: ACHTUNG: Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert!
gpg:          Es gibt keinen Hinweis darauf, dass die Signatur dem Eigentümer gehört.
Primärschlüssel Fingerabdruck: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Teilschlüssel Fingerabdruck: 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Aktuell gültige Teilschlüssel-Fingerabdrücke sind:

1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Beachte, dass es eine Warnung gibt, weil du dieser Person keinen Vertrauensindex zugewiesen hast. Das bedeutet, dass GnuPG überprüft hat, dass der Schlüssel diese Signatur erstellt hat, aber es liegt an dir zu entscheiden, ob dieser Schlüssel wirklich dem Entwickler gehört. Die beste Methode ist es, den Entwickler persönlich zu treffen und Schlüssel-Fingerabdrücke auszutauschen.

macOS und Linux

Du musst GnuPG installiert haben, bevor du Signaturen überprüfen kannst. Wenn du macOS verwendest, kannst du es von https://www.gpgtools.org/ aus installieren. Wenn du Linux verwendest, dann hast du GnuPG wahrscheinlich bereits in deinem System, da die meisten Linux-Distributionen damit vorinstalliert sind.

Der nächste Schritt ist, den Schlüssel, der dein Packet signiert hat, mit GnuPG zu importieren. Das Tor-Browser-Team signiert die Versionen von Tor-Browser. Importiere seinen Schlüssel (0x4E2C6E8793298290), indem du das Terminal startest (unter "Anwendungen" in macOS) und Folgendes eingibst:

gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Nachdem du den Schlüssel importiert hast solltest du verifizieren, dass der Fingerprint korrekt ist:

gpg --fingerprint 0x4E2C6E8793298290

Folgendes sollte zu sehen sein:

pub   rsa4096/0x4E2C6E8793298290 2014-12-15 [C] [expires: 2020-08-24]
      Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
uid                   [ unbekannt] Tor Browser Entwickler (Signaturschlüssel) <torbrowser&at;torproject.org>
sub   rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [expires: 2020-09-12]
      Key fingerprint = 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Um die Signatur des heruntergeladenen Packets zu überprüfen, musst du auch die Datei ".asc" herunterladen. Angenommen, du hast das Packet und seine Signatur in deinen Download-Ordner heruntergeladen, dann führe es aus:

Für macOS Benutzer:

gpg --verify ~/Downloads/TorBrowser-8.0.8-osx64_en-US.dmg{.asc,}

Für Linux-Benutzer (ändere 64 zu 32, wenn du das 32-bit-Packet hast):

gpg --verify tor-browser-linux64-8.0.8_en-US.tar.xz{.asc,}

Die Ausgabe sollte "Good signature" oder "Korrekte Unterschrift" lauten:

gpg: Signatur erstellt am Wed 15 Nov 2017 05:52:38 PM CET
gpg:                using RSA key 0xD1483FA6C3C07136
gpg: Gute Signatur von "Tor Browser-Entwickler (Signaturschlüssel) <torbrowser&at;torproject.org>" [unbekannt]
gpg: ACHTUNG: Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert!
gpg:          Es gibt keinen Hinweis darauf, dass die Signatur dem Eigentümer gehört.
Primärschlüssel Fingerabdruck: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Teilschlüssel Fingerabdruck: A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

Aktuell gültige Teilschlüssel-Fingerabdrücke sind:

1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Beachte, dass es eine Warnung gibt, weil du dieser Person keinen Vertrauensindex zugewiesen hast. Das bedeutet, dass GnuPG überprüft hat, dass der Schlüssel diese Signatur erstellt hat, aber es liegt an dir zu entscheiden, ob dieser Schlüssel wirklich dem Entwickler gehört. Die beste Methode ist es, den Entwickler persönlich zu treffen und Schlüssel-Fingerabdrücke auszutauschen.

Sieh https://www.gnupg.org/documentation/ um mehr über GnuPG zu erfahren.