Podpis cyfrowy to proces zapewniający, że dany pakiet został wygenerowany przez jego twórców i nie został naruszony.
Poniżej wyjaśniamy dlaczego jest to ważne i jak sprawdzić, czy pobrana przez Ciebie Tor Browser jest tą, którą stworzyliśmy i nie została zmodyfikowana przez napastnika.
Każdemu plikowi na naszej stronie do pobierania towarzyszy plik oznaczony "sygnatura", o tej samej nazwie co paczka i rozszerzeniu ".asc". Te pliki .asc są podpisami OpenPGP.
Umożliwiają one sprawdzenie, czy pobrany plik jest dokładnie tym, który zamierzaliśmy żebyś pobrał.
Zależy to od przeglądarki internetowej, lecz ogólnie możesz pobrać ten plik poprzez naciśnięcie prawego przycisku myszy na link do "podpisu" i wybrać opcję "zapisz plik jako".
Na przykład, tor-browser-windows-x86_64-portable-13.0.1.exe
towarzyszy tor-browser-windows-x86_64-portable-13.0.1.exe.asc
.
Są to przykładowe nazwy plików, i nie będą one dokładnie odzwierciedlały nazwy pliku który pobrałeś.
Teraz pokażemy ci jak możesz zweryfikować cyfrowy podpis pobranego pliku na różnych systemach operacyjnych.
Proszę zwróć uwagę, że podpis jest datą kiedy pakiet został podpisany.
Dlatego za każdym razem, gdy nowy plik jest przesyłany, generowany jest nowy podpis z inną datą.
Dopóki weryfikujesz podpis, nie powinieneś się martwić, że podana data może się różnić.
Instalowanie GnuPG
Po pierwsze musisz mieć zainstalowane GnuPG żeby mieć możliwość weryfikowania podpisów.
Dla użytkowników Windowsa:
Jeśli używasz systemu Windows, pobierz Gpg4win i uruchom instalator.
Aby zweryfikować podpis musisz wpisać kilka poleceń w wierszu poleceń windows, cmd.exe
.
Dla użytkowników macOS:
Jeśli używasz systemu macOS, możesz zainstalować GPGTools.
Aby zweryfikować podpis musisz wpisać kilka poleceń w Terminalu (okno "Aplikacje").
Dla użytkowników GNU/Linux:
Jeśli używasz GNU/Linux, to prawdopodobnie masz już GnuPG w swoim systemie, ponieważ większość dystrybucji GNU/Linux ma go zainstalowanego domyślnie.
Aby zweryfikować podpis musisz wpisać kilka poleceń w okno terminalu. Polecenia te będą różniły się w zależności od Twojej dystrybucji.
Pobieranie klucza Tor Developers
Zespół Tor Browser podpisuje wydania Tor Browser.
Zaimportuj klucz podpisu deweloperów Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Powinieneś zobaczyć coś w stylu:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
NOTE: Your output may deviate somewhat from the above (eg. expiration dates), however you should see the key correctly imported.
Jeśli wyświetli się komunikat o błędzie, coś poszło nie tak i nie możesz kontynuować dopóki nie rozwiążesz problemu. Możesz spróbować zaimportować klucz używając sekcji Obejście (używając klucza publicznego).
Po zaimportowaniu klucza, możesz zapisać go do pliku (identyfikując go poprzez jego "odcisk palca" tutaj):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Ta komenda zapisuje klucz do pliku o ścieżce ./tor.keyring
, np. w aktualnym folderze.
Jeśli ./tor.keyring
nie został utworzony po wpisaniu komendy, coś poszło nie tak i nie możesz kontynuować dopóki nie rozwiążesz tego problemu.
Weryfikowanie podpisu
Aby zweryfikować podpis pobranej przez Ciebie paczki, musisz pobrać odpowiedni plik podpisu ".asc", oraz plik instalatora, i zweryfikować go wpisując komendę która pyta GnuPG o zweryfikowanie pliku który pobrałeś.
Przykład poniżej zakłada że pobrałeś te dwa pliki do folderu "Downloads".
Zwróć uwagę, że komendy używają przykładowych nazw plików, a Twoje będą inne: należy zastąpić przykładowe nazwy plików dokładnymi nazwami pobranych plików.
Dla użytkowników Windows (zmień x86_64 na i686 jeżeli masz 32-bitową paczkę):
gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe
Dla użytkowników macOS:
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg
Dla użytkowników GNU/Linux (zmień x86_64 na i686 jeżeli masz 32-bitową paczkę):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz
Rezultat komendy powinien zawierać:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Jeśli otrzymujesz komunikaty o błędach zawierające 'No such file or directory', coś poszło nie tak w poprzednich krokach, lub zapomniałeś, że te komendy zawierają przykładowe nazwy plików i Twoje będą nieco inne.
Odświeżanie klucza PGP
Uruchom następujące polecenie, aby zaktualizować Tor Browser Developer Signature Key w lokalnym zestawie kluczy z serwera kluczy. Spowoduje to również pobranie nowych podsekcji.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Obejście (używając klucza publicznego)
Jeśli napotkasz błędy których nie możesz rozwiązać, nie krępuj się pobrać i używać tego klucza publicznego, lub użyj następującej komendy:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Klucz deweloperów Tor Browser (en: Tor Browser Developers) jest również dostępny na keys.openpgp.org i może zostać pobrany z https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290.
Jeśli używasz systemu MacOS lub GNU/Linux, możesz pobrać klucz wpisując tę komendę:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Możesz również chcieć dowiedzieć się więcej o GnuPG.