tor con t minúscula

Attention: These instructions are to verify the tor source code. Please follow the right instructions to verify Tor Browser's signature.

La firma digital es un proceso que asegura que un cierto paquete fue generado por sus desarrolladores y no ha sido alterado. Debajo explicamos por qué es importante y cómo verificar que el código fuente de tor que descargas es el que hemos creado y no ha sido modificado por algún atacante.

Each file on our download page is accompanied by a file labelled "sig" with the same name as the package and the extension ".asc". These .asc files are OpenPGP signatures. Te permiten verificar que el archivo que has descargado es exactamente el que intentamos que obtengas. This will vary by web browser, but generally you can download this file by right-clicking the "sig" link and selecting the "save file as" option.

For example, tor-0.4.6.7.tar.gz is accompanied by tor-0.4.6.7.tar.gz.asc. Estos son nombres de archivos de ejemplo y no coincidirán exactamente con los nombres de los archivos que descargues.

Ahora mostramos cómo puedes verificar la firma digital de los archivos descargados en diferentes sistemas operativos. Por favor ten en cuenta que una firma es fechada en el momento en que el paquete ha sido firmado. Por lo tanto, cada vez que se sube un archivo nuevo, se genera una nueva firma con una fecha distinta. En la medida en que hayas verificado la firma, no deberías preocuparte si la fecha reportada varía con la del ejemplo.

Instalar GnuPG

En primer lugar, necesitas tener GnuPG instalado antes de verificar firmas.

Para usuarios de Windows:

Si usas Windows, descarga Gpg4win y ejecuta el instalador.

A fin de verificar la firma, necesitarás escribir unos pocos comandos en la utilidad de línea de comandos de Windows, cmd.exe.

Para usuarios macOS:

Si estás usando macOS, puedes instalar GPGTools.

Para comprobar la validez de la firma digital, debes escribir unos cuantos comandos en el Terminal (está en "Aplicaciones").

Para usuarios GNU/Linux:

Si usas GNU/Linux, probablemente ya tengas instalado GnuPG, la mayoría de distribuciones lo incluyen.

In order to verify the signature you will need to type a few commands in a terminal window. How to do this will vary depending on your distribution.

Obteniendo la clave de los desarrolladores de Tor

Roger Dingledine (0xEB5A896A28988BF5 y 0xC218525819F78451), Nick Mathewson (0xFE43009C4607B1FB) fiman los tarballs del código fuente de Tor.

Fetching Nick Mathewson most recent key:

‪$ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org

Esto debería de mostrar algo parecido a:

gpg: key FE43009C4607B1FB: public key "Nick Mathewson <nickm@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
pub   rsa4096 2016-09-21 [C] [expires: 2025-10-04]
      2133BC600AB133E1D826D173FE43009C4607B1FB
‪uid           [ unknown] Nick Mathewson <nickm@torproject.org>
sub   rsa4096 2016-09-23 [S] [expires: 2025-10-04]
sub   rsa4096 2016-09-23 [E] [expires: 2025-10-04]

Si obtienes un mensaje de error, algo ha salido mal, y no puedes continuar hasta que te hayas dado cuenta de por qué esto no funcionó. You might be able to import the key using the Workaround (using a public key) section instead.

Después de importar la clave, puedes guardarla en un archivo (identificado aquí por su huella digital):

‪$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB

Este comando tiene como resultado que la clave sea guardada a un archivo que se encuentra en la ruta ./tor.keyring, por ejemplo, en la carpeta actual. Si ./tor.keyring no existe después de ejecutar este comando, algo ha salido mal y no puedes continuar hasta que hayas averiguado por qué no funcionó esto.

Comprobar la firma

Para comprobar la firma digital del paquete que has descargado, tienes que descargar el archivo ".asc" correspondiente, además del instalador propiamente dicho, y verificarla con un comando que usa GnuPG para ello.

Los siguientes ejemplos asumen que has descargado estos dos archivos en la carpeta "Descargas". Ten en cuenta que estos comandos usan nombres de archivos de ejemplo y los tuyos serán diferentes: habrás de descargar una versión diferente de la 9.0, y puede que no hayas elegido la versión en Inglés (en-US).

Para usuarios de Windows:

gpgv --keyring .\tor.keyring Downloads\tor-0.4.6.7.tar.gz.asc Downloads\tor-0.4.6.7.tar.gz

Para usuarios macOS:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.7.tar.gz.asc ~/Downloads/tor-0.4.6.7.tar.gz

Para usuarios GNU/Linux:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.7.tar.gz.asc ~/Downloads/tor-0.4.6.7.tar.gz

El resultado del comando debería ser algo como:

gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03
gpgv:                using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601
‪gpgv: Good signature from "Nick Mathewson <nickm@torproject.org>"

Si te aparecen mensajes de error conteniendo 'No existe el archivo o directorio', o bien aldo salió mal con uno de los pasos previos, u olvidaste que estos comandos usan nombres de archivos de ejemplo, y los tuyos serán un poco diferentes.

Método alternativo (usando una clave pública)

Si encuentras errores que no puedes solucionar, sientete libre de descargar y usar esta clave pública. Alternativamete, puedes usar el siguiente comando:

‪$ curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Nick Mathewson key is also available on keys.openpgp.org and can be downloaded from https://keys.openpgp.org/vks/v1/by-fingerprint/2133BC600AB133E1D826D173FE43009C4607B1FB.

If you're using macOS or GNU/Linux, the key can also be fetched by running the following command:

‪$ gpg --keyserver keys.openpgp.org --search-keys nickm@torproject.org

Es posible que quieras saber más sobre GnuPG.