La firma digitale è un processo che assicura che un certo pacchetto sia stato creato dai suoi sviluppatori e che non sia stato manomesso. Qui sotto spieghiamo perché è importante e come verificare che il Tor che stai scaricando è quello che abbiamo creato e non è stato modificato da malintenzionati.

Ogni file nella nostra download page è allegato a un file con lo stesso nome del pacchetto e dell'estensione ".asc". Questi file .asc sono firme GPG. Ti permettono di verificare che il file che hai scaricato è esattamente quello da noi previsto. Per esempio, torbrowser-install-8.0.8_en-US.exe è accompagnato da torbrowser-install-8.0.8_en-US.exe.asc. Per la lista di quali sviluppatori firmano un determinato pacchetto, visita la nostra pagina sulle chiavi di firma.

Ora ti mostriamo come puoi verificare la firma digitale del file scaricato nei vari sistemi operativi. Ti informiamo che la firma è datata a quando il pacchetto è stato firmato. Pertanto, ogni volta che un nuovo file viene caricato una nuova firma viene generata con una data diversa. Finché hai verificato la tua firma non dovresti preoccuparti che la data riportata potrebbe cambiare.

Windows

Prima di tutto hai bisogno di installare GnuPG prima di poter verificare le firme. Scaricalo da https://gpg4win.org/download.html.

Una volta installato, usa GnuPG per importare la chiave che ha firmato il tuo pacchetto. Per verificare la firma avrai bisogno di scrivere alcuni comandi sul prompt dei comandi di windows, cmd.exe

Il team Tor Browser firma le versioni del Tor Browser. Importa la sua chiave (0x4E2C6E8793298290) avviando cmd.exe e scrivendo:

gpg.exe --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Dopo aver importato la chiave puoi verificare che la fingerprint sia corretta:

gpg.exe --fingerprint 0x4E2C6E8793298290

Dovresti vedere:

pub   rsa4096/0x4E2C6E8793298290 2014-12-15 [C] [scadenza: 2020-08-24]
      Impronta digitale = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser&at;torproject.org>
sub   rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [scadenza: 2020-09-12]
      Impronta digitale = 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Per verificare la firma del pacchetto che hai scaricato, avrai bisogno di scaricare anche il file ".asc". Supponendo che hai scaricato il pacchetto e la sua firma sul tuo Desktop, avvia:

gpg.exe --verify C:\\Users\\Alice\\Desktop\\torbrowser-install-win64-8.0.8_en-US.exe.asc C:\\Users\\Alice\\Desktop\\torbrowser-install-8.0.8_en-US.exe

Per favore sostituisci "Alice" con il tuo nome utente.

L'output dovrebbe mostrare "Good signature":

gpg: Firma creata Max 12 Feb 2019 08:27:41 EST
gpg: si sta usando la chiave RSA EB774491D9FF06E2
gpg: Firma buona da "Tor Browser Developers (signing key) <torbrowser@torproject.org>" [unknown]
gpg: ATTENZIONE: Questa chiave non è attestata con una firma fidata!
gpg: Non c'è nessuna indicazione che la firma appartenga al suo proprietario.
Chiave impronta primaria: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: 1107 75B5 D101 FB36 BC6C 911B EB77 4491 D9FF 06E2

Le impronte subkey attualmente valide sono:

1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Ti avvisiamo che c'è un avviso perché non hai assegnato un indice di fiducia a questa persona. Questo significa che GnuPG ha verificato che la chiave ha creato quella firma, ma tocca a te decidere se la chiave appartiene davvero allo sviluppatore. Il migliore metodo è quello di incontrare lo sviluppatore di persona e scambiarsi le chiavi delle impronte digitali.

macOS e Linux

Hai bisogno di installare GnuPG prima di poter verificare le firme. Se stai usando macOS, puoi installarlo da https://www.gpgtools.org/. Se stai usando Linux, allora probabilmente hai già GnuPG nel tuo sistema, visto che nella maggior parte delle distribuzioni Linux è preinstallato.

Il prossimo step è usare GnuPG per importare la chiave che ha firmato il tuo pacchetto. Il team Tor Browser firma le versioni del Tor Browser. Importa la sua chiave (0x4E2C6E8793298290) avviando il terminale (sotto "Applicazioni" in macOS) e digitando:

gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Dopo aver importato la chiave puoi verificare che la fingerprint sia corretta:

gpg --fingerprint 0x4E2C6E8793298290

Dovresti vedere:

pub   rsa4096/0x4E2C6E8793298290 2014-12-15 [C] [scadenza: 2020-08-24]
      Impronta digitale = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser&at;torproject.org>
sub   rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [scadenza: 2020-09-12]
      Impronta digitale = 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Per verificare la firma del pacchetto che hai scaricato, avrai bisogno di scaricare anche il file ".asc". Ammesso che che hai scaricato il pacchetto e la sua firma nella tua cartella dei download, avvia:

Per gli utenti macOS:

gpg --verify ~/Downloads/TorBrowser-8.0.8-osx64_en-US.dmg{.asc,}

Per utenti Linux (cambia 64 a 32 se hai il pacchetto a 32-bit)

gpg --verify tor-browser-linux64-8.0.8_en-US.tar.xz{.asc,}

L'output dovrebbe mostrare "Good signature":

gpg: Firma creata Mer 15 Nov 2017 17:52:38 CET
gpg: si sta usando la chiave RSA 0xD1483FA6C3C07136
gpg: Firma buona da "Tor Browser Developers (signing key) <torbrowser&at;torproject.org>" [unknown]
gpg: ATTENZIONE: Questa chiave non è attestata con una firma fidata!
gpg: Non c'è nessuna indicazione che la firma appartenga al suo proprietario.
Chiave impronta primaria: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: A430 0A6B C93C 0877 A445 1486 D148 3FA6 C3C0 7136

Le impronte subkey attualmente valide sono:

1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Ti avvisiamo che c'è un avviso perché non hai assegnato un indice di fiducia a questa persona. Questo significa che GnuPG ha verificato che la chiave ha creato quella firma, ma tocca a te decidere se la chiave appartiene davvero allo sviluppatore. Il migliore metodo è quello di incontrare lo sviluppatore di persona e scambiarsi le chiavi delle impronte digitali.

Vedi https://www.gnupg.org/documentation/ per sapere di più su GnuPG.