امضای دیجیتال، فرآیندی است که تضمین میکند که یک بستهی خاص توسط توسعه دهندگان آن ایجاد شده و کسی آن را دستکاری نکرده است.
در زیر توضیح میدهیم که چرا مهم است و چگونه میتوان بررسی کرد که مرورگر Tor که دانلود میکنید، مرورگری است که ما ایجاد کردهایم و توسط برخی از مهاجمان تغییر نیافته است.
هر فایل در صفحه دانلود ما با یک فایل با عنوان "امضا" با همان نام بسته و پسوند ".asc" همراه است. این فایلهای .asc امضاهای OpenPGP هستند.
آن ها به شما اجازه می دهند تا فایلی که دانلود کرده اید را تایید کنید که همان فایلی است که می خواستید دانلود کنید.
این در مرورگرهای وب با هم متفاوت است، اما به طور کلی، میتوانید این فایل را با کلیک راست روی پیوند "امضا" و انتخاب گزینه "ذخیره فایل به عنوان" دانلود کنید.
برای نمونه، torbrowser-install-win64-9.0_en-US.exe
با torbrowser-install-win64-9.0_en-US.exe.asc
همراه است.
این اسامی فایل ها نمونه می باشند و دقیقاً با اسامی فایلی که شما دریافت کرده اید تطابق نخواهند داشت.
اکنون ما به شما نشان می دهیم چگونه می توانید امضا دیجیتال فایلی که دانلود کرده اید را روی سیستم عامل های متفاوت تایید کنید.
لطفا توجه داشته باشید که یک امضا زمانی که بسته امضا شده است تاریخ دار می شود.
بنابراین هر بار که یک فایل جدید آپلود می شود یک امضا جدید با یک تاریخ متفاوت تولید می شود.
تا زمانی که شما امضا را تایید کرده باشید نیازی به نگرانی در تفاوت تاریخ گزارش شده نیست.
نصب GnuPG
اول از هر چیز نیاز است تا GnuPG روی کامپیوتر شما نصب باشد تا بتوانید امضاها را تایید کنید.
برای کاربران Windows:
اگر در حال استفاده از ویندوز هستید، Gpg4win را دانلود کنید و نصب کننده آن را اجرا کنید.
برای تایید امضا لازم است چندین فرمان را در خط فرمان ویندوز cmd.exe
تایپ کنید.
برای کاربران macOS:
اگر از macOS استفاده میکنید، می توانید GPGTools را نصب کنید.
برای تایید امضا لازم است چندین فرمان را در ترمینال (در "برنامه ها") تایپ کنید.
برای کاربران GNU/Linux:
اگر در حال استفاده از گنو/لینوکس می باشید، بنابراین احتمالا GnuPG روی سیستم شما موجود می باشد، در اکثر توزیع های گنو/لینوکس از قبل نصب شده است.
برای تایید امضا لازم است چندین فرمان را در پنجره ترمینال تایپ کنید. نحوه انجام این کار بستگی به توزیع شما دارد.
واکشی کلید توسعهدهندگان Tor
تیم مرورگر تور انتشار های مرورگر تور را امضا می کند.
درون برد کلید امضا توسعه دهنگان تور (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
این باید چیزی را به شما نمایش بدهد شبیه به:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
pub rsa4096 2014-12-15 [C] [expires: 2025-07-21]
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub rsa4096 2018-05-26 [S] [انقضا: 2020-12-19]
اگر پیام خطایی دریافت کردید، اشتباهی رخ داده است و قبل از شناسایی مشکل نمی توانید ادامه دهید. ممکن است قادر به درون برد کلید با استفاده از بخش دور زدن(با استفاده از یک کلید عمومی) باشید.
پس از وارد کردن کلید، میتوانید آن را در یک فایل ذخیره کنید (در اینجا آن را با اثر انگشت شناسایی کنید):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
این دستور باعث میشود که کلید در فایلی که در مسیر ./tor.keyring
، یعنی در فهرست فعلی ذخیره شود.
اگر ./tor.keyring
پس از اجرای این دستور وجود نداشت، اشتباهی رخ داده است و شما نمی توانید ادامه دهید تا زمانی که متوجه شوید چرا این کار نمی کند.
در حال تایید امضا
برای تایید امضا بسته ای که دانلود کرده اید، لازم است تا فایل امضا "asc." متناظر را هم دانلود کنید و آن را با یک فرمان که از GnuPG می خواهد تا فایل دانلود شده توسط شما را تایید کند.
نمونه های زیر فرض می کنند که شما این دو فایل را در پوشه "Downloads" دانلود کرده اید.
توجه داشته باشید که این دستورات از نام هایی استفاده می کنند که نمونه می باشد و با نام فایل شما تفاوت دارد: شما یک نسخه متفاوت از 9.0 را دریافت کرده اید و شاید نسخه انگلیسی (en-US) را انتخاب نکرده باشید.
برای کاربران Windows:
gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-9.0_en-US.exe.asc Downloads\torbrowser-install-win64-9.0_en-US.exe
برای کاربران macOS:
gpgv --keyring ./tor.keyring ~/Downloads/TorBrowser-9.0-osx64_en-US.dmg.asc ~/Downloads/TorBrowser-9.0-osx64_en-US.dmg
برای کاربران گنو/لینوکس (64 را 32 تغییر دهید اگر بسته شما 32-بیت می باشد):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-9.0_en-US.tar.xz.asc ~/Downloads/tor-browser-linux64-9.0_en-US.tar.xz
The result of the command should contain:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
اگر پیام خطایی دریافت کردید که می گفت 'هیچ فایل یا دایرکتوری وجود ندارد'، خطایی در یکی از مراحل گذشته رخ داده، یا شما فراموش کردید که اسامی فایل ها نمونه بودند و نام فایل های شما متفاوت است.
Refreshing the PGP key
Run the following command to refresh the Tor Browser Developers signing key in your local keyring from the keyserver. This will also fetch the new subkeys.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
راهکار موقت (با استفاده از یک کلید عمومی)
اگر با خطاهایی روبرو می شوید که نمی توانید آن ها را اصلاح کنید، می توانید این کلید عمومی را دانلود کرده و استفاده کنید. به غیر از آن، می توانید از فرمان زیر استفاده کنید:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
کلید توسعهدهنده مرورگر Tor نیز در keys.openpgp.org موجود است و میتوانید آن را از https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290 دانلود کنید.
اگر از macOS یا GNU/Linux استفاده میکنید، کلید را میتوانید با اجرای دستور زیر نیز دریافت کنید:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
شما شاید بخواهید درباره GnuPG بیشتر یاد بگیرید.