How to verify Tor Browser's signature

A digital signature is a process that ensures a package was generated by its developers and has not been tampered with. Below we explain why it is important and how to verify that the Tor Browser you download is the one we created and has not been modified by an attacker.

View for:

Neben jeder Datei auf unserer Download Seite findest du eine weitere Datei mit demselben Namen, wie die Originaldatei, der Beschriftung „Signatur“ und der Dateinamensendung „.asc“. Diese .asc-Dateien sind OpenPGP-Signaturen. Sie ermöglichen es dir zu überprüfen, ob die Datei, die du heruntergeladen hast, genau diejenige ist, die du erhalten solltest. Du solltest die Datei herunterladen können, indem du einen Rechtsklick auf die Datei machst und dann „Datei speichern unter“ auswählst. Je nach Webbrowser kann dieser Schritt auch anders aussehen.

Zum Beispiel wird tor-browser-windows-x86_64-portable-13.0.1.exe von tor-browser-windows-x86_64-portable-13.0.1.exe.asc begleitet. Dies sind Beispiel-Datei-Namen und stimmen nicht genau mit den Datei-Namen überein, die du herunterlädst.

Bitte beachte, dass eine Signatur mit dem Datum versehen ist, an dem das Packet signiert wurde. Daher wird bei jedem Hochladen einer neuen Datei eine neue Signatur mit einem anderen Datum erzeugt. Solange du die Signatur überprüft hast, solltest du dir keine Sorgen bereiten, dass das gemeldete Datum sich ändern kann.

Installiert GnuPG

Zuerst musst du GnuPG installiert haben, bevor du Signaturen überprüfen kannst. Wenn du Windows benutzt, dann lade bitte Gpg4win herunter und installiere es. Um die Signatur zu überprüfen, musst du ein paar Befehle in die Windows-Befehlszeile, cmd.exe, eingeben.

Holt den Schlüssel der Tor-Entwickler

Das Tor-Browser-Team signiert die Versionen des Tor-Browsers. Füge Signaturschlüssel der Tor-Entwickler hinzu (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Dies sollte ungefähr wie folgt aussehen:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>

HINWEIS: Deine Ausgabe kann etwas von der obigen abweichen (z.B. Verfallsdaten), aber du solltest den Schlüssel korrekt importiert sehen.

Wenn du eine Fehler-Nachricht erhältst, ist etwas schiefgelaufen und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat. Möglicherweise kannst du den Schlüssel stattdessen mit dem Abschnitt Behelfslösung (Verwenden eines öffentlichen Schlüssels) importieren.

Nachdem du den Schlüssel importiert hast, kannst du ihn in einer Datei speichern (hier per Fingerabdruck identifizieren):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Dieser Befehl sorgt dafür, dass der Schlüssel in einer Datei unter dem Pfad ./tor.keyring, also in dem aktuellen Verzeichnis, gespeichert wird. Wenn ./tor.keyring nach dem Ausführen dieses Befehls nicht existiert, ist etwas schiefgelaufen, und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat.

Überprüft die Signatur

Um die Signatur des heruntergeladenen Pakets zu überprüfen, musst du die entsprechende „.asc“-Signaturdatei und die Installationsdatei herunterladen und mit einem GnuPG-Befehl die Datei verifizieren.

Die untenstehenden Beispiele gehen davon aus, dass du die Dateien im „Downloads“-Ordner gespeichert hast. Beachte, dass diese Befehle Beispiel-Dateinamen verwenden und dass deine Dateinamen anders lauten: Du musst die Beispiel-Dateinamen durch die exakten Namen der von dir heruntergeladenen Dateien ersetzen.

Für GNU+Linux-Nutzer (ändere x86_64 zu i686, wenn du das 32-Bit-Paket hast):

gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe

Das Ergebnis des Befehls sollte enthalten:

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

Wenn du Fehler-Meldungen bekommst, die „No such file or directory“ enthalten, ist entweder bei einem der vorherigen Schritte etwas schiefgelaufen, oder du hast vergessen, dass diese Befehle Beispiel-Datei-Namen verwenden und deiner deshalb etwas anders lauten muss.

Refreshing the PGP key

Führe den folgenden Befehl aus, um den Signierschlüssel der Tor-Browser-Entwickler in deinem lokalen Schlüsselbund vom Schlüsselserver zu aktualisieren. Dies wird auch die neuen Unterschlüssel abrufen.

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Workaround (using a public key)

Wenn du Fehlern begegnest, die du nicht beheben kannst, hab keine Scheu diesen öffentlichen Schlüssel zu downloaden und anstelle dessen zu benutzen. Alternativ kannst du vielleicht den folgenden Befehl verwenden:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Der Entwicklerschlüssel des Tor-Browsers ist auch auf keys.openpgp.org verfügbar und kann heruntergeladen werden von https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Du kannst außerdem mehr über GnuPG erfahren (englisch).

Neben jeder Datei auf unserer Download Seite findest du eine weitere Datei mit demselben Namen, wie die Originaldatei, der Beschriftung „Signatur“ und der Dateinamensendung „.asc“. Diese .asc-Dateien sind OpenPGP-Signaturen. Sie ermöglichen es dir zu überprüfen, ob die Datei, die du heruntergeladen hast, genau diejenige ist, die du erhalten solltest. Du solltest die Datei herunterladen können, indem du einen Rechtsklick auf die Datei machst und dann „Datei speichern unter“ auswählst. Je nach Webbrowser kann dieser Schritt auch anders aussehen.

For example, tor-browser-macos-14.5.6.dmg is accompanied by tor-browser-macos-14.5.6.dmg.asc. Dies sind Beispiel-Datei-Namen und stimmen nicht genau mit den Datei-Namen überein, die du herunterlädst.

Bitte beachte, dass eine Signatur mit dem Datum versehen ist, an dem das Packet signiert wurde. Daher wird bei jedem Hochladen einer neuen Datei eine neue Signatur mit einem anderen Datum erzeugt. Solange du die Signatur überprüft hast, solltest du dir keine Sorgen bereiten, dass das gemeldete Datum sich ändern kann.

Installiert GnuPG

Zuerst musst du GnuPG installiert haben, bevor du Signaturen überprüfen kannst. Wenn du macOS benutzt, kannst du die GPGTools installieren.

Um die Signatur zu überprüfen, musst du einige Befehle in das Terminal (siehe „Anwendungen“) eingeben.

Holt den Schlüssel der Tor-Entwickler

Das Tor-Browser-Team signiert die Versionen des Tor-Browsers. Füge Signaturschlüssel der Tor-Entwickler hinzu (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Dies sollte ungefähr wie folgt aussehen:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>

HINWEIS: Deine Ausgabe kann etwas von der obigen abweichen (z.B. Verfallsdaten), aber du solltest den Schlüssel korrekt importiert sehen.

Wenn du eine Fehler-Nachricht erhältst, ist etwas schiefgelaufen und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat. Möglicherweise kannst du den Schlüssel stattdessen mit dem Abschnitt Behelfslösung (Verwenden eines öffentlichen Schlüssels) importieren.

Nachdem du den Schlüssel importiert hast, kannst du ihn in einer Datei speichern (hier per Fingerabdruck identifizieren):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Dieser Befehl sorgt dafür, dass der Schlüssel in einer Datei unter dem Pfad ./tor.keyring, also in dem aktuellen Verzeichnis, gespeichert wird. Wenn ./tor.keyring nach dem Ausführen dieses Befehls nicht existiert, ist etwas schiefgelaufen, und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat.

Überprüft die Signatur

Um die Signatur des heruntergeladenen Pakets zu überprüfen, musst du die entsprechende „.asc“-Signaturdatei und die Installationsdatei herunterladen und mit einem GnuPG-Befehl die Datei verifizieren.

Die untenstehenden Beispiele gehen davon aus, dass du die Dateien im „Downloads“-Ordner gespeichert hast. Beachte, dass diese Befehle Beispiel-Dateinamen verwenden und dass deine Dateinamen anders lauten: Du musst die Beispiel-Dateinamen durch die exakten Namen der von dir heruntergeladenen Dateien ersetzen.

Für macOS-Benutzer:

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg

Das Ergebnis des Befehls sollte enthalten:

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

Wenn du Fehler-Meldungen bekommst, die „No such file or directory“ enthalten, ist entweder bei einem der vorherigen Schritte etwas schiefgelaufen, oder du hast vergessen, dass diese Befehle Beispiel-Datei-Namen verwenden und deiner deshalb etwas anders lauten muss.

Workaround (using a public key)

Wenn du Fehlern begegnest, die du nicht beheben kannst, hab keine Scheu diesen öffentlichen Schlüssel zu downloaden und anstelle dessen zu benutzen. Alternativ kannst du vielleicht den folgenden Befehl verwenden:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Der Entwicklerschlüssel des Tor-Browsers ist auch auf keys.openpgp.org verfügbar und kann heruntergeladen werden von https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. The key can also be fetched by running the following command:

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Du kannst außerdem mehr über GnuPG erfahren (englisch).

Neben jeder Datei auf unserer Download Seite findest du eine weitere Datei mit demselben Namen, wie die Originaldatei, der Beschriftung „Signatur“ und der Dateinamensendung „.asc“. Diese .asc-Dateien sind OpenPGP-Signaturen. Sie ermöglichen es dir zu überprüfen, ob die Datei, die du heruntergeladen hast, genau diejenige ist, die du erhalten solltest. Du solltest die Datei herunterladen können, indem du einen Rechtsklick auf die Datei machst und dann „Datei speichern unter“ auswählst. Je nach Webbrowser kann dieser Schritt auch anders aussehen.

For example, tor-browser-linux-x86_64-14.5.6.tar.xz is accompanied by tor-browser-linux-x86_64-14.5.6.tar.xz.asc. Dies sind Beispiel-Datei-Namen und stimmen nicht genau mit den Datei-Namen überein, die du herunterlädst.

Bitte beachte, dass eine Signatur mit dem Datum versehen ist, an dem das Packet signiert wurde. Daher wird bei jedem Hochladen einer neuen Datei eine neue Signatur mit einem anderen Datum erzeugt. Solange du die Signatur überprüft hast, solltest du dir keine Sorgen bereiten, dass das gemeldete Datum sich ändern kann.

Installiert GnuPG

Wenn du Linux verwendest, dann hast du GnuPG wahrscheinlich bereits auf deinem System, da die meisten Linux-Distributionen es vorinstalliert haben.

In order to verify the signature you will need to type a few commands in a terminal window. How to do this will vary depending on your distribution.

Holt den Schlüssel der Tor-Entwickler

Das Tor-Browser-Team signiert die Versionen des Tor-Browsers. Füge Signaturschlüssel der Tor-Entwickler hinzu (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Dies sollte ungefähr wie folgt aussehen:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>

HINWEIS: Deine Ausgabe kann etwas von der obigen abweichen (z.B. Verfallsdaten), aber du solltest den Schlüssel korrekt importiert sehen.

Wenn du eine Fehler-Nachricht erhältst, ist etwas schiefgelaufen und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat. Möglicherweise kannst du den Schlüssel stattdessen mit dem Abschnitt Behelfslösung (Verwenden eines öffentlichen Schlüssels) importieren.

Nachdem du den Schlüssel importiert hast, kannst du ihn in einer Datei speichern (hier per Fingerabdruck identifizieren):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Dieser Befehl sorgt dafür, dass der Schlüssel in einer Datei unter dem Pfad ./tor.keyring, also in dem aktuellen Verzeichnis, gespeichert wird. Wenn ./tor.keyring nach dem Ausführen dieses Befehls nicht existiert, ist etwas schiefgelaufen, und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat.

Überprüft die Signatur

Um die Signatur des heruntergeladenen Pakets zu überprüfen, musst du die entsprechende „.asc“-Signaturdatei und die Installationsdatei herunterladen und mit einem GnuPG-Befehl die Datei verifizieren.

Die untenstehenden Beispiele gehen davon aus, dass du die Dateien im „Downloads“-Ordner gespeichert hast. Beachte, dass diese Befehle Beispiel-Dateinamen verwenden und dass deine Dateinamen anders lauten: Du musst die Beispiel-Dateinamen durch die exakten Namen der von dir heruntergeladenen Dateien ersetzen.

Für GNU+Linux-Nutzer (ändere x86_64 zu i686, wenn du das 32-Bit-Paket hast):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz

Das Ergebnis des Befehls sollte enthalten:

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

Wenn du Fehler-Meldungen bekommst, die „No such file or directory“ enthalten, ist entweder bei einem der vorherigen Schritte etwas schiefgelaufen, oder du hast vergessen, dass diese Befehle Beispiel-Datei-Namen verwenden und deiner deshalb etwas anders lauten muss.

Refreshing the PGP key

Führe den folgenden Befehl aus, um den Signierschlüssel der Tor-Browser-Entwickler in deinem lokalen Schlüsselbund vom Schlüsselserver zu aktualisieren. Dies wird auch die neuen Unterschlüssel abrufen.

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Workaround (using a public key)

Wenn du Fehlern begegnest, die du nicht beheben kannst, hab keine Scheu diesen öffentlichen Schlüssel zu downloaden und anstelle dessen zu benutzen. Alternativ kannst du vielleicht den folgenden Befehl verwenden:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Der Entwicklerschlüssel des Tor-Browsers ist auch auf keys.openpgp.org verfügbar und kann heruntergeladen werden von https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. The key can also be fetched by running the following command:

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Du kannst außerdem mehr über GnuPG erfahren (englisch).