Semnătura digitală este un proces care asigură faptul că un anumit pachet a fost generat de dezvoltatorii săi și nu a fost manipulat.
Mai jos vă explicăm de ce este important și cum să verificați dacă Tor Browser pe care îl descărcați este cel pe care l-am creat și nu a fost modificat de un atacator.
Fiecare fișier de pe pagina noastră de descărcare este însoțit de un fișier etichetat "semnătură" cu același nume ca și pachetul și extensia ".asc". Aceste fișiere .asc sunt semnături OpenPGP.
Ele vă permit să verificați dacă fișierul pe care l-ați descărcat este exact cel pe care v-am propus să-l primiți.
Acest lucru va varia în funcție de browser-ul web, dar, în general, puteți descărca acest fișier făcând clic dreapta pe link-ul "semnătură" și selectând opțiunea "salvați fișierul ca".
De exemplu, tor-browser-windows-x86_64-portable-13.0.1.exe este însoțit detor-browser-windows-x86_64-portable-13.0.1.exe.asc.
Acestea sunt nume de fișiere de exemplu și nu se vor potrivi exact cu numele fișierelor pe care le descărcați.
Acum vă arătăm cum puteți verifica semnătura digitală a fișierului descărcat pe diferite sisteme de operare.
Rețineți că o semnătură este datată la momentul semnării pachetului.
Prin urmare, de fiecare dată când este încărcat un nou fișier, este generată o nouă semnătură cu o altă dată.
Atâta timp cât ați verificat semnătura, nu trebuie să vă faceți griji că data raportată poate să difere.
Instalarea GnuPG
Mai întâi trebuie să aveți instalat GnuPG pentru a putea verifica semnăturile.
Pentru utilizatorii Windows:
Dacă rulați Windows, descărcați Gpg4win și rulați programul de instalare.
Pentru a verifica semnătura, va trebui să tastați câteva comenzi în linia de comandă Windows, cmd.exe.
Pentru utilizatorii macOS:
Dacă utilizați macOS, puteți instala GPGTools.
Pentru a verifica semnătura, va trebui să tastați câteva comenzi în terminal (sub „Aplicații”).
Pentru utilizatorii GNU / Linux:
Dacă utilizați GNU / Linux, atunci probabil că aveți deja GnuPG în sistemul dvs., deoarece majoritatea distribuțiilor GNU / Linux vin cu acesta preinstalate.
Pentru a verifica semnătura, va trebui să tastați câteva comenzi într-o fereastră de terminal. Cum trebuie să faceți acest lucru, diferă în funcție de distribuția dvs.
Obținerea cheii Tor Developers
Echipa Tor Browser semnează lansările Tor Browser.
Importați cheia pentru semnătură a dezvoltatorilor Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Acest lucru ar trebui să arate ceva de genul:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
pub rsa4096 2014-12-15 [C] [expiră pe data de: 2025-07-21]
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub rsa4096 2018-05-26 [S] [expires: 2020-12-19]
Dacă primiți un mesaj de eroare, ceva a mers prost și nu puteți continua până când nu ați dat seama de ce acest lucru nu a funcționat. Este posibil să puteți importa cheia utilizând secțiunea Workaround (utilizând o cheie publică).
După importarea cheii, o puteți salva într-un fișier (identificându-l prin amprenta sa aici):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Această comandă are ca rezultat salvarea cheii într-un fișier aflat pe calea ./tor.keyring, adică în directorul curent.
Dacă ./tor.keyring nu există după executarea acestei comenzi, ceva a mers prost și nu puteți continua până când nu v-ați dat seama de ce acest lucru nu a funcționat.
Verificarea semnăturii
Pentru a verifica semnătura pachetului pe care l-ați descărcat, va trebui să descărcați fișierul de semnătură „.asc” corespunzător, precum și fișierul de instalare și să îl verificați cu o comandă care solicită lui GnuPG să verifice fișierul pe care l-ați descărcat.
Exemplele de mai jos presupun că ați descărcat aceste două fișiere în folderul „Descărcări” - Downloads.
Note that these commands use example file names and yours will be different: you will need to replace the example file names with exact names of the files you have downloaded.
For Windows users (change x86_64 to i686 if you have the 32-bit package):
gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe
Pentru utilizatorii macOS:
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg
For GNU/Linux users (change x86_64 to i686 if you have the 32-bit package):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz
The result of the command should contain:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Dacă primiți mesaje de eroare care conțin „niciun astfel de fișier sau director”, fie ceva nu a mers bine cu unul dintre pașii anteriori, fie ați uitat că aceste comenzi utilizează nume de fișiere de exemplu, iar al dumneavoastră va fi puțin diferit.
Refreshing the PGP key
Run the following command to refresh the Tor Browser Developers signing key in your local keyring from the keyserver. This will also fetch the new subkeys.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Mod de lucru (folosind o cheie publică)
Dacă întâmpinați erori pe care nu le puteți remedia, nu ezitați să descărcați și să utilizați în schimb această cheie publică. Alternativ, puteți utiliza următoarea comandă:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Cheia Tor Browser Developers este disponibilă și pe keys.openpgp.org și poate fi descărcată de la https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290.
Dacă utilizați MacOS sau GNU/Linux, cheia poate fi preluată și rulând următoarea comandă:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
De asemenea, poate doriți să aflați mai multe despre GnuPG.