Цифровая подпись подтверждает, что конкретный файл был создан его разработчиками и не был никем модифицирован.
Ниже мы объясняем, почему это важно, и как проверить, что скачанный вами Tor Browser создали именно мы, и он не был изменен злоумышленником.
Каждому файлу на нашей странице скачивания соответствует "подпись" с тем же именем, что у файла, но с расширением ".asc". Эти файлы .asc – подписи OpenPGP.
Подпись удостоверяет, что вы скачали подлинный файл.
Бывают отличия в зависимости от браузера, но обычно вы можете скачать файл, если нажмете правой кнопкой мыши на "подписи" и выберете в меню "Сохранить как".
Например, tor-browser-windows-x86_64-portable-13.0.1.exe
сопровождается tor-browser-windows-x86_64-portable-13.0.1.exe.asc
.
Эти имена файлов выбраны для примера. Они не будут в точности совпадать с именами файлов, которые скачиваете вы.
Давайте посмотрим, как проверить цифровую подпись скачанного файла в разных операционных системах.
Пожалуйста, учтите, что подпись датируется тем числом, когда файл был подписан.
Для каждого нового файла, размещенного на сайте, существует отдельная подпись со своей датой.
Если вы уже проверили подпись, на даты можно не обращать внимание.
Установка GnuPG
Для проверки подписей сначала нужно установить программу GnuPG.
Для пользователей Windows:
Если вы пользователь Windows, скачайте Gpg4win и запустите программу установки.
Чтобы проверить подпись, понадобится набрать несколько команд в командной строке (cmd.exe
).
Для пользователей macOS:
Если вы пользуетесь macOS, можете установить GPGTools.
Чтобы проверить подпись, понадобится набрать несколько команд в Терминале (найдите его среди приложений).
Для пользователей GNU/Linux:
Если вы пользуетесь GNU/Linux, вероятно, программа GnuPG у вас уже установлена. Большинство сборок GNU/Linux включают GnuPG по умолчанию.
Чтобы проверить подпись, нужно набрать несколько команд в окне терминала. Как это сделать, зависит от вашей сборки операционной системы.
Получение ключа разработчиков Tor
Новые версии Tor Browser подписаны ключом команды Tor Browser.
Импортируйте ключ разработчиков Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Вы увидите что-то в этом роде:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
NOTE: Your output may deviate somewhat from the above (eg. expiration dates), however you should see the key correctly imported.
Если вы видите сообщение об ошибке, то не сможете продолжить, пока не выясните причину. Возможно, импортировать ключ получится способом, описанным в разделе Альтернативный вариант (с использованием открытого ключа).
После того, как ключ импортирован, вы можете сохранить его в файл (для идентификации служит отпечаток):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
В результате ключ будет сохранён в файле в папке ./tor.keyring
, то есть, в текущей папке.
Если после выполнения этой команды не появится ./tor.keyring
, значит, что-то пошло не так. Вы не сможете продолжить, пока не выясните причину.
Проверка подписи
Чтобы проверить подпись для пакета с помощью GnuPG, нужно скачать также прилагаемый .asc-файл с подписью.
В следующих примерах мы предполагаем, что вы уже скачали эти два файла (сам пакет и подпись) в папку "Загрузки" ("Downloads").
Обратите внимание, что в этих командах используются примерные имена файлов, а ваши будут отличаться: вам нужно будет заменить примерные имена файлов на точные имена файлов, которые вы загрузили.
Для пользователей Windows (измените x86_64 на i686, если у вас 32-битный пакет):
gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe
Для пользователей macOS:
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg
Пользователи GNU/Linux (измените x86_64 на i686, если у вас пакет 32-бит):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz
Результат команды должен содержать:
gpgv: Действительная подпись пользователя "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Если увидите сообщение об ошибке вроде "Нет такого файла или папки", значит, что-то пошло не так на одном из предыдущих шагов. Другая причина: вы использовали названия файлов из примеров (ваши реальные названия другие).
Обновление ключа PGP
Выполните следующую команду, чтобы обновить ключ подписи разработчиков браузера Tor в локальном наборе ключей с сервера ключей. Это также приведет к получению новых подразделов.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Альтернативный вариант (с использованием открытого ключа)
Если вы столкнулись с непреодолимыми ошибками, можете скачать и использовать этот открытый ключ. Как вариант, можно выполнить следующую команду:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Ключ разработчиков Tor Browser также доступен на keys.openpgp.org и может быть загружен с https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290.
Если вы используете macOS или GNU/Linux, ключ также можно получить, выполнив следующую команду:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Подробнее о GnuPG можно почитать здесь.