Die digitale Signatur ist ein Prozess, der sicherstellt, dass ein bestimmtes packet von seinen Entwicklern generiert wurde und nicht manipuliert wurde. Im Folgenden erklären wir, warum es wichtig ist, und wie du überprüfen kannst, ob das Tor-Programm, das du herunterlädst, dasjenige ist, das wir erstellt haben, und das nicht von einem Angreifer verändert wurde.

Each file on our download page is accompanied by a file labelled "signature" with the same name as the package and the extension ".asc". These .asc files are OpenPGP signatures. Sie ermöglichen es dir zu überprüfen, ob die Datei, die du heruntergeladen hast, genau diejenige ist, die du erhalten solltest. This will vary by web browser, but generally you can download this file by right-clicking the "signature" link and selecting the "save file as" option.

Zum Beispiel wird torbrowser-install-win64-9.0_en-US.exe von torbrowser-install-win64-9.0_en-US.exe.asc begleitet. Dies sind Beispiel-Datei-Namen und stimmen nicht genau mit den Datei-Namen überein, die du herunterlädst.

Wir zeigen nun, wie du auf verschiedenen Betriebssystemen die digitale Signatur der heruntergeladenen Datei überprüfen kannst. Bitte beachte, dass eine Signatur mit dem Datum versehen ist, an dem das Packet signiert wurde. Daher wird bei jedem Hochladen einer neuen Datei eine neue Signatur mit einem anderen Datum erzeugt. Solange du die Signatur überprüft hast, solltest du dir keine Sorgen machen, dass das gemeldete Datum sich ändern kann.

Installiert GnuPG

Zuerst musst du GnuPG installiert haben, bevor du Signaturen überprüfen kannst.

Für Windows-Nutzer:

Wenn du Windows benutzt, dann lade bitte Gpg4win herunter und installiere es.

Um die Signatur zu überprüfen, musst du ein paar Befehle in die Windows-Befehlszeile, cmd.exe, eingeben.

Für macOS Benutzer:

If you are using macOS, you can install GPGTools.

Um die Signatur zu überprüfen, musst du einige Befehle in das Terminal (siehe "Anwendungen") eingeben.

Für GNU+Linux-Nutzer:

Wenn du Linux verwendest, dann hast du GnuPG wahrscheinlich bereits auf deinem System, da die meisten Linux-Distributionen es vorinstalliert haben.

Um die Signatur zu überprüfen, musst du ein paar Befehle in das Terminal eingeben. Wie du dein Terminal öffnest, unterscheidet sich von Distribution zu Distribution.

Holt den Schlüssel der Tor Entwickler

Das Tor-Browser-Team signiert die Versionen von Tor-Browser. Füge Signaturschlüssel der Tor Entwickler hinzu (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Dies sollte ungefähr wie folgt aussehen:

gpg: Schlüssel 4E2C6E8793298290: öffentlicher Schlüssel "Tor Entwickler (Signaturschlüssel) <torbrowser@torproject.org>" hinzugefügt
gpg: insgesamt verarbeitet: 1
gpg: hinzugefügt: 1
pub   rsa4096 2014-12-15 [C] [expires: 2025-07-21]
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unbekannt ] Tor Entwickler (Signaturschlüssel) <torbrowser@torproject.org>
sub   rsa4096 2018-05-26 [S] [expires: 2020-12-19]

Wenn du eine Fehler-Nachricht erhältst, ist etwas schief gelaufen und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat. Möglicherweise kannst du den Schlüssel stattdessen mit dem Abschnitt Workaround (Verwendung eines öffentlichen Schlüssels) importieren.

After importing the key, you can save it to a file (identifying it by its fingerprint here):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

This command results in the key being saved to a file found at the path ./tor.keyring, i.e. in the current directory. Wenn ./tor.keyring nach dem Ausführen dieses Befehls nicht existiert, ist etwas schief gelaufen, und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat.

Überprüft die Signatur

Um die Signatur des heruntergeladenen Paketes zu überprüfen, musst du die entsprechende ".asc" Signaturdatei und die Installationsdatei herunterladen und mit einem Befehl, der GnuPG verwendet, die Datei überprüfen.

Die untenstehenden Beispiele gehen davon aus, dass du die Dateien im "Downloads"-Ordner gespeichert hast. Beachte, dass diese Befehle Beispiel-Datei-Namen verwenden und dass deine Datei-Namen anders lauten: Du wirst eine andere Version als 9.0 heruntergeladen haben und möglicherweise nicht die englische (en-US) Version gewählt haben.

Für Windows-Nutzer:

gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-9.0_en-US.exe.asc Downloads\torbrowser-install-win64-9.0_en-US.exe

Für macOS Benutzer:

gpgv --keyring ./tor.keyring ~/Downloads/TorBrowser-9.0-osx64_en-US.dmg.asc ~/Downloads/TorBrowser-9.0-osx64_en-US.dmg

Für GNU+Linux Nutzer (ändere 64 zu 32, wenn du das 32-Bit Paket hast):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-9.0_en-US.tar.xz.asc ~/Downloads/tor-browser-linux64-9.0_en-US.tar.xz

Der Befehl sollte in etwa Folgendes ausgeben:

gpgv: Signatur erstellt 07/08/19 04:03:49 MESZ
gpgv: Benutze RSA Schlüssel EB774491D9FF06E2
gpgv: Gute Signatur von "Tor Entwickler (Signaturschlüssel) <torbrowser@torproject.org>"

Wenn du Fehler-Meldungen bekommst, die 'No such file or directory' enthalten, ist entweder bei einem der vorherigen Schritte etwas schief gelaufen, oder du hast vergessen, dass diese Befehle Beispiel-Datei-Namen verwenden und deiner deshalb etwas anders lauten muss.

Umgehung (einen öffentlichen Schlüssel benutzen)

Wenn du Fehlern begegnest, die du nicht beheben kannst, hab keine Scheu diesen öffentlichen Schlüssel zu downloaden und anstelle dessen zu benutzen. Alternativ kannst du vielleicht den folgenden Befehl verwenden:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Du kannst außerdem mehr über GnuPG erfahren (englisch).