Attention: These instructions are to verify the tor source code.
Please follow the right instructions to verify Tor Browser's signature.
La signature numérique est un processus qui garantit qu’un paquet précis a été généré par ses développeurs et n’a pas été altéré.
Below we explain why it is important and how to verify that the tor source code you download is the one we have created and has not been modified by some attacker.
Each file on our download page is accompanied by two files which are labelled "checksum" and "sig" with the same name as the package and the extension ".sha256sum" and ".sha256sum.asc" respectively.
The .asc
file will verify that the .sha256sum
file (containing the checksum of the package) has not been tampered with. Once the signature has been validated (see below on how to do it), the package integrity can be validated with:
$ sha256sum -c *.sha256sum
These files allow you to verify the file you've downloaded is exactly the one that we intended you to get.
This will vary by web browser, but generally you can download this file by right-clicking the "sig" and "checksum" link and selecting the "save file as" option.
For example, tor-0.4.6.7.tar.gz
is accompanied by tor-0.4.6.7.tar.gz.sha256sum.asc
.
Ce sont des exemples de noms de fichiers et ils ne correspondent pas exactement aux noms de fichiers que vous téléchargez.
Ci-dessous, nous vous expliquons comment vous pouvez, sur différents systèmes d’exploitation, confirmer la signature numérique du fichier téléchargé.
Veuillez noter qu’une signature est datée dès que le paquet a été signé.
Par conséquent, chaque fois qu’un nouveau fichier est téléversé, une nouvelle signature est générée avec une date différente.
Tant que vous aurez confirmé la signature, vous ne devriez pas vous inquiéter si la date indiquée varie.
Installer de GnuPG
Avant tout, GnuPG doit être installé avant que vous puissiez confirmer les signatures.
Pour les utilisateurs de Windows :
Si vous utilisez Windows, téléchargez Gpg4win (site en anglais) et exécutez son programme d’installation.
Afin de confirmer la signature, vous devrez taper quelques commandes dans la ligne de commande de Windows, cmd.exe
.
Pour les utilisateurs de macOS :
Si vous utilisez macOS, vous pouvez installer GPGTools.
Afin de confirmer la signature, vous devrez taper quelques commandes dans le terminal (dans « Applications »).
Pour les utilisateurs de GNU/Linux :
Si vous utilisez GNU/Linux, GnuPG se trouve déjà probablement sur votre système, car il est préinstallé sur la plupart des versions de Linux.
In order to verify the signature you will need to type a few commands in a terminal window.
How to do this will vary depending on your distribution.
Obtenir la clé des développeurs de Tor
The following keys can sign the tarball. Don't expect them all, it can vary depending on who is available to make the release.
You can fetch the key with the links provided above or with:
$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org
$ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org
$ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org
This should show you something like (for nickm):
gpg: key FE43009C4607B1FB: public key "Nick Mathewson <nickm@torproject.org>" imported
gpg : Total number processed : 1
gpg: imported: 1
pub rsa4096 2016-09-21 [C] [expires: 2025-10-04]
2133BC600AB133E1D826D173FE43009C4607B1FB
uid [ unknown] Nick Mathewson <nickm@torproject.org>
sub rsa4096 2016-09-23 [S] [expires: 2025-10-04]
sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]
Si vous obtenez un message d’erreur, quelque chose s’est mal passé et vous ne pouvez pas continuer avant de trouver ce qui ne fonctionne pas.
You might be able to import the key using the Workaround (using a public key) section instead.
Après avoir importé la clé, vous pouvez l’enregistrer vers un fichier (en l’identifiant par son empreinte ici) :
$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB
Ces résultats de commande dans la clé étant sauvegardés vers un fichier se trouvant dans le chemin ./tor.keyring
, c’est-à-dire dans l’actuel répertoire.
Si ./tor.keyring
n’existe pas après avoir lancé cette commande, quelque chose a mal tourné et vous ne pouvez pas poursuivre tant que vous n’avez pas compris pourquoi cela n’a pas marché.
Confirmer la signature
To verify the signature of the package you downloaded, you will need to download the corresponding .sha256sum.asc
signature file and the .sha256sum
file itself, and verify it with a command that asks GnuPG to verify the file that you downloaded.
Les exemples ci-dessous supposent que vous avez téléchargé ces deux fichiers dans votre dossier « Téléchargements ».
Notez que ces commandes utilisent des noms de fichiers d’exemple et que le vôtre sera différent : vous aurez téléchargé une version différente de la 9.0 et vous n’aurez peut-être pas choisi la version anglaise (en-US).
Pour les utilisateurs de Windows :
gpgv --keyring .\tor.keyring Downloads\tor-0.4.6.10.tar.gz.sha256sum.asc Downloads\tor-0.4.6.10.tar.gz.sha256sum
Pour les utilisateurs de macOS :
gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum
For BSD/Linux users:
gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum
The result of the command should produce something like this (depending on which key signed it):
gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03
gpgv: using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601
gpgv: Good signature from "Nick Mathewson <nickm@torproject.org>"
Si vous obtenez des messages d’erreur contenant "Aucun fichier ou répertoire de ce type", soit quelque chose s’est mal passé lors d’une des étapes précédentes, soit vous avez oublié que ces commandes utilisent des noms de fichiers d’exemple et le vôtre sera un peu différent.
Vous voudrez peut-être aussi en apprendre davantage sur GnuPG (site en anglais).
Verifying checksum
Now that we validated the signatures of the checksum, we need to verify the integrity of the package.
Pour les utilisateurs de Windows :
certUtil -hashfile tor-0.4.6.10.tar.gz.sha256sum SHA256
Pour les utilisateurs de macOS :
shasum -a 256 tor-0.4.6.10.tar.gz.sha256sum
For BSD/Linux users:
sha256sum -c tor-0.4.6.10.tar.gz.sha256sum