La signature numérique est un processus qui garantit qu’un paquet précis a été généré par ses développeurs et n’a pas été altéré. Ci-dessous, nous expliquons pourquoi cela est important et comment vérifier que le programme Tor que vous téléchargez est bien celui que nous avons créé, et qu’il n’a pas été modifié par un assaillant.

Each file on our download page is accompanied by a file labelled "signature" with the same name as the package and the extension ".asc". These .asc files are OpenPGP signatures. Ils vous permettent de vérifier que le fichier que vous avez téléchargé est exactement celui que nous vous voulions que vous obteniez. This will vary by web browser, but generally you can download this file by right-clicking the "signature" link and selecting the "save file as" option.

For example, torbrowser-install-win64-9.0_en-US.exe is accompanied by torbrowser-install-win64-9.0_en-US.exe.asc. These are example file names and will not exactly match the file names that you download.

Ci-dessous, nous vous expliquons comment vous pouvez, sur différents systèmes d’exploitation, vérifier la signature numérique du fichier téléchargé. Veuillez noter qu’une signature est datée dès que le paquet a été signé. Par conséquent, chaque fois qu’un nouveau fichier est téléversé, une nouvelle signature est générée avec une date différente. Tant que vous aurez vérifié la signature, vous ne devriez pas vous inquiéter si la date indiquée varie.

Installer de GnuPG

Avant tout, GnuPG doit être installé avant que vous puissiez vérifier les signatures.

Pour les utilisateurs de Windows :

Si vous utilisez Windows, téléchargez Gpg4win (site en anglais) et exécutez son programme d’installation.

Afin de vérifier la signature, vous devrez taper quelques commandes dans la ligne de commande de Windows, cmd.exe.

Pour les utilisateurs de macOS :

If you are using macOS, you can install GPGTools.

Afin de vérifier la signature, vous devrez taper quelques commandes dans le terminal (dans « Applications »).

Pour les utilisateurs de GNU/Linux :

Si vous utilisez GNU/Linux, GnuPG se trouve déjà probablement sur votre système, car il est préinstallé sur la plupart des versions de Linux.

Afin de vérifier la signature, vous devrez taper quelques commandes dans une fenêtre de terminal. La façon de le faire peut varier en fonction de votre version.

Obtenir la clé des développeurs de Tor

L’équipe du Navigateur Tor signe les versions du Navigateur Tor. Importez la clé de signature des développeurs du Navigateur Tor (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290) :

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Cela devrait vous afficher quelque chose telle que :

gpg: clef 4E2C6E8793298290 : clef publique « Tor Browser Developers (signing key) <torbrowser@torproject.org> » importée
gpg: Quantité totale traitée : 1
gpg:               importées : 1
pub   rsa4096 2014-12-15 [C] [expires: 2025-07-21]
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ inconnue] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub   rsa4096 2018-05-26 [S] [expires: 2020-12-19]

If you get an error message, something has gone wrong and you cannot continue until you've figured out why this didn't work. You might be able to import the key using the Workaround (using a public key) section instead.

After importing the key, you can save it to a file (identifying it by its fingerprint here):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

This command results in the key being saved to a file found at the path ./tor.keyring, i.e. in the current directory. If ./tor.keyring doesn't exist after running this command, something has gone wrong and you cannot continue until you've figured out why this didn't work.

Vérifier la signature

Pour vérifier la signature du paquet que vous avez téléchargé, vous devez télécharger le fichier de signature « .asc » correspondant, ainsi que le fichier du programme d’installation même, et le vérifier à l’aide d’une commande qui demande à GnuPG de contrôler le fichier que vous avez téléchargé.

Les exemples ci-dessous supposent que vous avez téléchargé ces deux fichiers dans votre dossier « Téléchargements ». Note that these commands use example file names and yours will be different: you will have downloaded a different version than 9.0 and you may not have chosen the English (en-US) version.

Pour les utilisateurs de Windows :

gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-9.0_en-US.exe.asc Downloads\torbrowser-install-win64-9.0_en-US.exe

Pour les utilisateurs de macOS :

gpgv --keyring ./tor.keyring ~/Downloads/TorBrowser-9.0-osx64_en-US.dmg.asc ~/Downloads/TorBrowser-9.0-osx64_en-US.dmg

Pour les utilisateurs de GNU/Linux (changez 64 en 32 si vous avez le paquet 32 bits) :

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-9.0_en-US.tar.xz.asc ~/Downloads/tor-browser-linux64-9.0_en-US.tar.xz

Le résultat de la commande devrait produire quelque chose comme ceci :

gpgv: Signature faite le lun 08 jui 2019 07:06:17 EDT
gpgv:                avec la clef RSA EB774491D9FF06E2
gpgv: Bonne signature de « Tor Browser Developers (signing key) <torbrowser@torproject.org> »

If you get error messages containing 'No such file or directory', either something went wrong with one of the previous steps, or you forgot that these commands use example file names and yours will be a little different.

Workaround (using a public key)

If you encounter errors you cannot fix, feel free to download and use this public key instead. Alternatively, you may use the following command:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Vous voudrez peut-être aussi en apprendre davantage sur GnuPG (site en anglais).