Assinatura digital é um processo que certifica que um determinado pacote foi gerado pelas pessoas que o desenvolveram e que não sofreram nenhuma alteração. Abaixo nós explicamos por que é importante e como verificar que o software Tor que você baixou é aquele que nós criamos e que ele não foi alterado em um ataque.

Cada arquivo em nossa página de download é acompanhado por um arquivo com o mesmo nome do pacote e a extensão ".asc". Esses arquivos .asc são assinaturas GPG. Eles permitem que você verifique se o documento baixado é exatamente aquele que pretendíamos que você baixasse. Por exemplo, torbrowser-install-8.0.8_en-US.exe vem acompanhado de torbrowser-install-8.0.8_en-US.exe.asc. Para ver a lista de quem assinou cada pacote, consulte nossa página de chaves de assinaturas.

Agora vamos lhe mostrar como você pode verificar a assinatura digital de cada documento baixado em vários sistemas operacionais. Por favor, lembre que a assinatura é datada do momento em que o pacote foi assinado. Assim, todas as vezes que um novo documento for carregado, uma nova assinatura é gerada com a nova data. Se você tiver verificado a assinatura, não se preocupe com a mudança das datas.

Windows

Primeiro de tudo você precisa ter o GnuPG instalado antes de verificar as assinaturas. Baixar de https://gpg4win.org/download.html.

Uma vez instalado, use o GnuPG para importar a chave que assinou seu pacote. Para verificar a assinatura, você precisará digitar alguns comandos na linha de comando do Windows, cmd.exe.

A equipe do Tor Browser assina os lançamentos do Tor Browser. Importe sua chave (0x4E2C6E8793298290) iniciando o cmd.exe e digitando:

gpg.exe --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Depois de importar a chave, você pode verificar se a impressão digital está correta:

gpg.exe --fingerprint 0x4E2C6E8793298290

Você deveria ver:

pub   rsa4096/0x4E2C6E8793298290 2014-12-15 [C] [expires: 2020-08-24]
      Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
uid                   [ desconhecido] Tor Browser Developers (chave de assinatura) <torbrowser&at;torproject.org>
sub   rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [expires: 2020-09-12]
      Key fingerprint = 1107 75B5 D101 FB36 BC6C 911B EB77 4491 D9FF 06E2

Para verificar a assinatura do pacote que você baixou, você precisará baixar o arquivo ".asc" também. Supondo que você baixou o pacote e sua assinatura para o seu Desktop, execute:

gpg.exe --verify C:\\Users\\Alice\\Desktop\\torbrowser-install-win64-8.0.8_en-US.exe.asc C:\\Users\\Alice\\Desktop\\torbrowser-install-8.0.8_en-US.exe

Por favor, substitua "Alice" com o seu nome de usuário.

A saída deve dizer "Good signature":

gpg: Signature made Tue 12 Feb 2019 08:27:41 AM EST
gpg:                usando a chave RSA EB774491D9FF06E2
gpg: boa assinatura de "Tor Browser Developers (chave de assinatura) <torbrowser@torproject.org>" [desconhecido]
gpg: ALERTA: Essa chave não foi certificada com uma assinatura confiável!
gpg:          Não há indicação de que a assinatura pertença ao proprietário.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: 1107 75B5 D101 FB36 BC6C 911B EB77 4491 D9FF 06E2

As impressões digitais de subchave atualmente válidas são:

1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Observe que há um aviso porque você não atribuiu um índice de confiança a essa pessoa. Isso significa que o GnuPG verificou que a chave fez essa assinatura, mas cabe a você decidir se essa chave realmente pertence ao desenvolvedor. O melhor método é encontrar a pessoa que desenvolveu e trocar as identidades de chave.

macOS e Linux

Você precisa instalar GnuPG para poder verificar as assinaturas. Se você estiver usando o macOS, você pode instalá-lo em https://www.gpgtools.org/. Se você está usando Linux, então provavelmente você já tem o GnuPG em seu sistema, já que a maioria das distribuições Linux vêm pré-instaladas.

O próximo passo é usar GnuPG para importar a chave que assinou o seu pacote. A equipe do Tor Browser assina os lançamentos do Tor Browser. Importe sua chave (0x4E2C6E8793298290) iniciando o terminal (em "Aplicativos" no MacOS) e digitando:

gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Depois de importar a chave, você pode verificar se a impressão digital está correta:

gpg --fingerprint 0x4E2C6E8793298290

Você deveria ver:

pub   rsa4096/0x4E2C6E8793298290 2014-12-15 [C] [expires: 2020-08-24]
      Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
uid                   [ desconhecido] Tor Browser Developers (chave de assinatura) <torbrowser&at;torproject.org>
sub   rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [expires: 2020-09-12]
      Key fingerprint = 1107 75B5 D101 FB36 BC6C 911B EB77 4491 D9FF 06E2

Para verificar a assinatura do pacote que você baixou, você precisará baixar o arquivo ".asc" também. Supondo que você baixou o pacote e sua assinatura para sua pasta Downloads, execute:

Para usuários do macOS:

gpg --verify ~/Downloads/TorBrowser-8.0.8-osx64_en-US.dmg{.asc,}

Para usuários do Linux (altere 64 para 32 se você tiver o pacote de 32 bits):

gpg --verify tor-browser-linux64-8.0.8_en-US.tar.xz{.asc,}

A saída deve dizer "Good signature":

gpg: Assinatura feita Wed 15 Nov 2017 05:52:38 PM CET
gpg:                usando a chave RSA 0xD1483FA6C3C07136
gpg: boa assinatura de "Tor Browser Developers (chave de assinatura) <torbrowser&at;torproject.org>" [desconhecido]
gpg: ALERTA: Essa chave não foi certificada com uma assinatura confiável!
gpg:          Não há indicação de que a assinatura pertença ao proprietário.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: A430 0A6B C93C 0877 A445 1486 D148 3FA6 C3C0 7136

As impressões digitais de subchave atualmente válidas são:

1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Observe que há um aviso porque você não atribuiu um índice de confiança a essa pessoa. Isso significa que o GnuPG verificou que a chave fez essa assinatura, mas cabe a você decidir se essa chave realmente pertence ao desenvolvedor. O melhor método é encontrar a pessoa que desenvolveu e trocar as identidades de chave.

Veja https://www.gnupg.org/documentation/ para saber mais sobre o GnuPG.