La signature numérique est un processus qui garantit qu’un paquet précis a été généré par ses développeurs et n’a pas été altéré. Ci-dessous, nous expliquons pourquoi cela est important et comment vérifier que le programme Tor que vous téléchargez est bien celui que nous avons créé, et qu’il n’a pas été modifié par un assaillant.

Chaque fichier de notre [page de téléchargement] (https://www.torproject.org/download/) est accompagné d'un fichier portant le même nom que le fichier et de l'extension ".asc". Ces fichiers .asc sont des signatures OpenPGP. Ils vous permettent de vérifier que le fichier que vous avez téléchargé est exactement celui que nous vous voulions que vous obteniez. Par exemple, torbrowser-install-win64-8.5.4_en-US.exe est accompagné partorbrowser-install-win64-8.5.4_en-US.exe.asc.

Ci-dessous, nous vous expliquons comment vous pouvez, sur différents systèmes d’exploitation, vérifier la signature numérique du fichier téléchargé. Veuillez noter qu’une signature est datée dès que le paquet a été signé. Par conséquent, chaque fois qu’un nouveau fichier est téléversé, une nouvelle signature est générée avec une date différente. Tant que vous aurez vérifié la signature, vous ne devriez pas vous inquiéter si la date indiquée varie.

Installation de GnuPG

Avant tout, GnuPG doit être installé avant que vous puissiez vérifier les signatures.

Pour les utilisateurs de Windows :

Si vous utilisez Windows, [téléchargez Gpg4win] (https://gpg4win.org/download.html) et exécutez son programme d'installation.

Afin de vérifier la signature, vous devrez taper quelques commandes en ligne de commande Windows, cmd.exe.

Pour les utilisateurs de macOS :

Si vous utilisez macOS, vous pouvez [installer GPGTools] (https://www.gpgtools.org).

Afin de vérifier la signature, vous devrez taper quelques commandes dans le terminal (dans "Applications").

Pour les utilisateurs GNU/Linux :

Si vous utilisez GNU/Linux, alors vous avez probablement déjà GnuPG dans votre système, car il est préinstallées dans la plupart des distributions GNU/Linux.

Afin de vérifier la signature, vous devrez taper quelques commandes dans une fenêtre de terminal. Les étapes peuvent varier en fonction de votre distribution.

Récupération de la clé des développeurs Tor

L’équipe du Navigateur Tor signe les versions du Navigateur Tor. Importez la clé de signature des développeurs du navigateur Tor (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290) :

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Cela devrait vous montrer quelque chose comme :

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
pub   rsa4096 2014-12-15 [C] [expires: 2020-08-24]
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub   rsa4096 2018-05-26 [S] [expires: 2020-09-12]

Après avoir importé la clef, vous pouvez l'enregistrer dans un fichier (l'identifier par empreinte digitale ici):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Verification de la signature

Pour vérifier la signature du paquet que vous avez téléchargé, vous devez télécharger le fichier de signature ".asc" correspondant, ainsi que le fichier d'installation lui-même, et le vérifier à l'aide d'une commande qui demande à GnuPG de vérifier le fichier que vous avez téléchargé.

Les exemples ci-dessous supposent que vous avez téléchargé ces deux fichiers dans votre dossier "Téléchargements".

Le résultat de la commande devrait produire quelque chose comme ceci:

gpgv: Signature made 07/08/19 04:03:49 Pacific Daylight Time
gpgv:                using RSA key EB774491D9FF06E2
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

Pour les utilisateurs de Windows :

gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-8.5.4_en-US.exe.asc Downloads\torbrowser-install-win64-8.5.4_en-US.exe

Pour les utilisateurs de macOS :

gpgv --keyring ./tor.keyring ~/Downloads/TorBrowser-8.5.4-osx64_en-US.dmg{.asc,}

Pour les utilisateurs de GNU / Linux (changez 64 bits en 32 bits si vous avez un paquet en 32 bits) :

gpgv --keyring ./tor.keyring tor-browser-linux64-8.5.4_en-US.tar.xz{.asc,}

Vous voudrez peut-être aussi [en savoir plus sur GnuPG] (https://www.gnupg.org/documentation/).