注意: これらの手順は、tor のソースコードを検証するためのものです。 Tor Browser の署名を検証する方法につきましては、こちらの手順をご覧ください。

署名ファイルのダウンロード

ダウンロードページにある Tor ソースファイルには、パッケージ名と同じ名前の「checksum」と「sig」という 2 つのファイルが付属しています。拡張子はそれぞれ「.sha256sum」と「.sha256sum.asc」です。

.asc ファイルは、 (パッケージのチェックサムを含む) .sha 256 sumファイルが改ざんされていないことを検証します。署名が検証されると (その方法については以下を参照) 、パッケージの整合性を次の方法で検証できます。

$ sha256sum -c *.sha256sum

これらのファイルを使用すると、ダウンロードしたファイルが意図したものであることを検証できます。 これはウェブブラウザーによって異なりますが、通常は "sig" と "checksum" のリンクを右クリックし、「名前を付けてファイルを保存」オプションを選択することで、このファイルをダウンロードできます。

例えば、tor-0.4.6.7.tar.gz には tor-0.4.6.7.tar.gz.sha256sum.asc が付属しています。 これらはファイル名の例であり、ダウンロードするファイル名と完全に一致するとは限りません。

署名はパッケージに署名された時点で日付が付けられます。 したがって新しいファイルがアップロードされる度に、新しい署名が異なる日付で生成されます。 署名を確認していれば、報告された日付が異なることを心配する必要はありません。

GnuPG のインストール

署名を検証するには、まず GnuPG をインストールする必要があります。 Windows を使用している場合、Gpg4win をダウンロードして実行してください。

署名を検証するためには、Windows のコマンドライン cmd.exe にいくつかのコマンドを入力する必要があります。

Tor デベロッパーキーの取得

以下のキーが tarball に署名することができます。誰がリリースするかによって異なるので、すべてを期待しないでください。

• Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
• David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
• Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB

上記のリンクまたは次のリンクを使用してキーを取得できます。

$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org

(nickm の場合) 次のように表示されます。

gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]

エラーメッセージが表示された場合、何か問題が発生したため、これが機能しなかった原因が分かるまで続行できません。 代わりに 回避策 (公開鍵を使用) セクションを使用してキーをインポートできる場合があります。

キーをインポートしたら、ファイルに保存できます (ここではフィンガープリントで識別します) 。

$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB

このコマンドを実行すると、鍵はパス ./tor.keyring にあるファイル、つまり現在のディレクトリーに保存されます。 このコマンドを実行した後、./tor.keyring が存在しない場合、何か問題が発生したため、これが機能しなかった原因が分かるまで続行できません。

署名を検証する

ダウンロードしたパッケージの署名を検証するには、対応する .sha256sum.asc 署名ファイルと .sha256sum ファイルそのものをダウンロードし、GnuPG にダウンロードしたファイルの検証を依頼するコマンドで検証する必要があります。

以下の例では、これら2つのファイルを「Downloads」フォルダーにダウンロードしたものとします。 これらのコマンドはファイル名の例であり、あなたのファイル名は異なる可能性があることにご注意ください。あなたは 9.0 以外のバージョンをダウンロードし、英語 (en-US) ではない言語を選択していない可能性があります。

gpgv --keyring .\tor.keyring Downloads\tor-0.4.6.10.tar.gz.sha256sum.asc Downloads\tor-0.4.6.10.tar.gz.sha256sum

コマンドの結果は次のようになるはずです (どのキーが署名したかによって変化します) 。

gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03 gpgv: using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601 gpgv: Good signature from "Nick Mathewson nickm@torproject.org"

「No such file or directory」を含むエラーメッセージが表示された場合は、前の手順のいずれかで何か問題が発生したか、またはこれらのコマンドがファイル名の例を使用していることを忘れていて、あなたのコマンドが少し異なる可能性があります。

GnuPG の詳細もご覧ください。

チェックサムを検証する

チェックサムの署名を検証したので、パッケージの整合性を検証する必要があります。

certUtil -hashfile tor-0.4.6.10.tar.gz.sha256sum SHA256

注意: これらの手順は、tor のソースコードを検証するためのものです。 Tor Browser の署名を検証する方法につきましては、こちらの手順をご覧ください。

署名ファイルのダウンロード

ダウンロードページにある Tor ソースファイルには、パッケージ名と同じ名前の「checksum」と「sig」という 2 つのファイルが付属しています。拡張子はそれぞれ「.sha256sum」と「.sha256sum.asc」です。

.asc ファイルは、 (パッケージのチェックサムを含む) .sha 256 sumファイルが改ざんされていないことを検証します。署名が検証されると (その方法については以下を参照) 、パッケージの整合性を次の方法で検証できます。

$ sha256sum -c *.sha256sum

これらのファイルを使用すると、ダウンロードしたファイルが意図したものであることを検証できます。 これはウェブブラウザーによって異なりますが、通常は "sig" と "checksum" のリンクを右クリックし、「名前を付けてファイルを保存」オプションを選択することで、このファイルをダウンロードできます。

例えば、tor-0.4.6.7.tar.gz には tor-0.4.6.7.tar.gz.sha256sum.asc が付属しています。 これらはファイル名の例であり、ダウンロードするファイル名と完全に一致するとは限りません。

署名はパッケージに署名された時点で日付が付けられます。 したがって新しいファイルがアップロードされる度に、新しい署名が異なる日付で生成されます。 署名を確認していれば、報告された日付が異なることを心配する必要はありません。

GnuPG のインストール

macOS を利用している場合、GPGTools をインストールすることができます。

Tor デベロッパーキーの取得

以下のキーが tarball に署名することができます。誰がリリースするかによって異なるので、すべてを期待しないでください。

• Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
• David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
• Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB

上記のリンクまたは次のリンクを使用してキーを取得できます。

$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org

(nickm の場合) 次のように表示されます。

gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]

エラーメッセージが表示された場合、何か問題が発生したため、これが機能しなかった原因が分かるまで続行できません。 代わりに 回避策 (公開鍵を使用) セクションを使用してキーをインポートできる場合があります。

キーをインポートしたら、ファイルに保存できます (ここではフィンガープリントで識別します) 。

$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB

このコマンドを実行すると、鍵はパス ./tor.keyring にあるファイル、つまり現在のディレクトリーに保存されます。 このコマンドを実行した後、./tor.keyring が存在しない場合、何か問題が発生したため、これが機能しなかった原因が分かるまで続行できません。

署名を検証する

ダウンロードしたパッケージの署名を検証するには、対応する .sha256sum.asc 署名ファイルと .sha256sum ファイルそのものをダウンロードし、GnuPG にダウンロードしたファイルの検証を依頼するコマンドで検証する必要があります。

以下の例では、これら2つのファイルを「Downloads」フォルダーにダウンロードしたものとします。 これらのコマンドはファイル名の例であり、あなたのファイル名は異なる可能性があることにご注意ください。あなたは 9.0 以外のバージョンをダウンロードし、英語 (en-US) ではない言語を選択していない可能性があります。

macOS ユーザーの場合:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum

「No such file or directory」を含むエラーメッセージが表示された場合は、前の手順のいずれかで何か問題が発生したか、またはこれらのコマンドがファイル名の例を使用していることを忘れていて、あなたのコマンドが少し異なる可能性があります。

GnuPG の詳細もご覧ください。

チェックサムを検証する

チェックサムの署名を検証したので、パッケージの整合性を検証する必要があります。

shasum -a 256 tor-0.4.6.10.tar.gz.sha256sum

注意: これらの手順は、tor のソースコードを検証するためのものです。 Tor Browser の署名を検証する方法につきましては、こちらの手順をご覧ください。

署名ファイルのダウンロード

ダウンロードページにある Tor ソースファイルには、パッケージ名と同じ名前の「checksum」と「sig」という 2 つのファイルが付属しています。拡張子はそれぞれ「.sha256sum」と「.sha256sum.asc」です。

.asc ファイルは、 (パッケージのチェックサムを含む) .sha 256 sumファイルが改ざんされていないことを検証します。署名が検証されると (その方法については以下を参照) 、パッケージの整合性を次の方法で検証できます。

$ sha256sum -c *.sha256sum

これらのファイルを使用すると、ダウンロードしたファイルが意図したものであることを検証できます。 これはウェブブラウザーによって異なりますが、通常は "sig" と "checksum" のリンクを右クリックし、「名前を付けてファイルを保存」オプションを選択することで、このファイルをダウンロードできます。

例えば、tor-0.4.6.7.tar.gz には tor-0.4.6.7.tar.gz.sha256sum.asc が付属しています。 これらはファイル名の例であり、ダウンロードするファイル名と完全に一致するとは限りません。

署名はパッケージに署名された時点で日付が付けられます。 したがって新しいファイルがアップロードされる度に、新しい署名が異なる日付で生成されます。 署名を確認していれば、報告された日付が異なることを心配する必要はありません。

GnuPG のインストール

署名を検証するには、まず GnuPG をインストールする必要があります。

GNU/Linux を使用してる場合、 おそらく既に GnuPG がインストールしてあるでしょう。ほとんどの GNU/Linux ディストリビューションにプレインストールされています。

署名を検証するには、ターミナルウィンドウでいくつかのコマンドを入力する必要があります。 これを行う方法は、ディストリビューションによって異なります。

Tor デベロッパーキーの取得

以下のキーが tarball に署名することができます。誰がリリースするかによって異なるので、すべてを期待しないでください。

• Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
• David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
• Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB

上記のリンクまたは次のリンクを使用してキーを取得できます。

$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org

(nickm の場合) 次のように表示されます。

gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]

エラーメッセージが表示された場合、何か問題が発生したため、これが機能しなかった原因が分かるまで続行できません。 代わりに 回避策 (公開鍵を使用) セクションを使用してキーをインポートできる場合があります。

キーをインポートしたら、ファイルに保存できます (ここではフィンガープリントで識別します) 。

$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB

このコマンドを実行すると、鍵はパス ./tor.keyring にあるファイル、つまり現在のディレクトリーに保存されます。 このコマンドを実行した後、./tor.keyring が存在しない場合、何か問題が発生したため、これが機能しなかった原因が分かるまで続行できません。

署名を検証する

ダウンロードしたパッケージの署名を検証するには、対応する .sha256sum.asc 署名ファイルと .sha256sum ファイルそのものをダウンロードし、GnuPG にダウンロードしたファイルの検証を依頼するコマンドで検証する必要があります。

以下の例では、これら2つのファイルを「Downloads」フォルダーにダウンロードしたものとします。 これらのコマンドはファイル名の例であり、あなたのファイル名は異なる可能性があることにご注意ください。あなたは 9.0 以外のバージョンをダウンロードし、英語 (en-US) ではない言語を選択していない可能性があります。

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum

コマンドの結果は次のようになるはずです (どのキーが署名したかによって変化します) 。

gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03 gpgv: using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601 gpgv: Good signature from "Nick Mathewson nickm@torproject.org"

「No such file or directory」を含むエラーメッセージが表示された場合は、前の手順のいずれかで何か問題が発生したか、またはこれらのコマンドがファイル名の例を使用していることを忘れていて、あなたのコマンドが少し異なる可能性があります。

GnuPG の詳細もご覧ください。

チェックサムを検証する

チェックサムの署名を検証したので、パッケージの整合性を検証する必要があります。

sha256sum -c tor-0.4.6.10.tar.gz.sha256sum