Как проверить подпись Tor Browser
Цифровая подпись - это процесс, который гарантирует, что пакет был сгенерирован его разработчиками и не подвергался подделке. Ниже мы объясним, почему это важно и как проверить, что загружаемый вами Tor Browser является тем, который мы создали, и не был изменен злоумышленником.
Каждому файлу на нашей странице скачивания соответствует "подпись" с тем же именем, что у файла, но с расширением ".asc". Эти файлы .asc – подписи OpenPGP. Подпись удостоверяет, что вы скачали подлинный файл. Бывают отличия в зависимости от браузера, но обычно вы можете скачать файл, если нажмете правой кнопкой мыши на "подписи" и выберете в меню "Сохранить как".
Например, tor-browser-windows-x86_64-portable-13.0.1.exe сопровождается tor-browser-windows-x86_64-portable-13.0.1.exe.asc. Эти имена файлов выбраны для примера. Они не будут в точности совпадать с именами файлов, которые скачиваете вы.
Пожалуйста, учтите, что подпись датируется тем числом, когда файл был подписан. Для каждого нового файла, размещенного на сайте, существует отдельная подпись со своей датой. Если вы уже проверили подпись, на даты можно не обращать внимание.
Установка GnuPG
Для проверки подписей сначала нужно установить программу GnuPG. Если вы пользователь Windows, скачайте Gpg4win и запустите программу установки. Чтобы проверить подпись, понадобится набрать несколько команд в командной строке (cmd.exe).
Получение ключа разработчиков Tor
Новые версии Tor Browser подписаны ключом команды Tor Browser. Импортируйте ключ разработчиков Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Вы увидите что-то в этом роде:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
ПРИМЕЧАНИЕ: Ваши выходные данные могут несколько отличаться от приведенных выше (например, даты истечения срока действия), однако вы должны увидеть, что ключ импортирован правильно.
Если вы видите сообщение об ошибке, то не сможете продолжить, пока не выясните причину. Возможно, импортировать ключ получится способом, описанным в разделе Альтернативный вариант (с использованием открытого ключа).
После того, как ключ импортирован, вы можете сохранить его в файл (для идентификации служит отпечаток):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
В результате ключ будет сохранён в файле в папке ./tor.keyring, то есть, в текущей папке. Если после выполнения этой команды не появится ./tor.keyring, значит, что-то пошло не так. Вы не сможете продолжить, пока не выясните причину.
Проверка подписи
Чтобы проверить подпись для пакета с помощью GnuPG, нужно скачать также прилагаемый .asc-файл с подписью.
В следующих примерах мы предполагаем, что вы уже скачали эти два файла (сам пакет и подпись) в папку "Загрузки" ("Downloads"). Обратите внимание, что в этих командах используются примерные имена файлов, а ваши будут отличаться: вам нужно будет заменить примерные имена файлов на точные имена файлов, которые вы загрузили.
Для пользователей Windows (измените x86_64 на i686, если у вас 32-битный пакет):
gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe
Результат команды должен содержать:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Если увидите сообщение об ошибке вроде "Нет такого файла или папки", значит, что-то пошло не так на одном из предыдущих шагов. Другая причина: вы использовали названия файлов из примеров (ваши реальные названия другие).
Обновление ключа PGP
Выполните следующую команду, чтобы обновить ключ подписи разработчиков браузера Tor в локальном наборе ключей с сервера ключей. Это также приведет к получению новых подразделов.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Альтернативный вариант (с использованием открытого ключа)
Если вы столкнулись с непреодолимыми ошибками, можете скачать и использовать этот открытый ключ. Как вариант, можно выполнить следующую команду:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Ключ разработчиков Tor Browser также доступен на keys.openpgp.org и может быть загружен с https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Подробнее о GnuPG можно почитать здесь.
Каждому файлу на нашей странице скачивания соответствует "подпись" с тем же именем, что у файла, но с расширением ".asc". Эти файлы .asc – подписи OpenPGP. Подпись удостоверяет, что вы скачали подлинный файл. Бывают отличия в зависимости от браузера, но обычно вы можете скачать файл, если нажмете правой кнопкой мыши на "подписи" и выберете в меню "Сохранить как".
Например, tor-browser-macos-14.5.6.dmg сопровождается tor-browser-macos-14.5.6.dmg.asc. Эти имена файлов выбраны для примера. Они не будут в точности совпадать с именами файлов, которые скачиваете вы.
Пожалуйста, учтите, что подпись датируется тем числом, когда файл был подписан. Для каждого нового файла, размещенного на сайте, существует отдельная подпись со своей датой. Если вы уже проверили подпись, на даты можно не обращать внимание.
Установка GnuPG
Для проверки подписей сначала нужно установить программу GnuPG. Если вы пользуетесь macOS, можете установить GPGTools.
Чтобы проверить подпись, понадобится набрать несколько команд в Терминале (найдите его среди приложений).
Получение ключа разработчиков Tor
Новые версии Tor Browser подписаны ключом команды Tor Browser. Импортируйте ключ разработчиков Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Вы увидите что-то в этом роде:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
ПРИМЕЧАНИЕ: Ваши выходные данные могут несколько отличаться от приведенных выше (например, даты истечения срока действия), однако вы должны увидеть, что ключ импортирован правильно.
Если вы видите сообщение об ошибке, то не сможете продолжить, пока не выясните причину. Возможно, импортировать ключ получится способом, описанным в разделе Альтернативный вариант (с использованием открытого ключа).
После того, как ключ импортирован, вы можете сохранить его в файл (для идентификации служит отпечаток):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
В результате ключ будет сохранён в файле в папке ./tor.keyring, то есть, в текущей папке. Если после выполнения этой команды не появится ./tor.keyring, значит, что-то пошло не так. Вы не сможете продолжить, пока не выясните причину.
Проверка подписи
Чтобы проверить подпись для пакета с помощью GnuPG, нужно скачать также прилагаемый .asc-файл с подписью.
В следующих примерах мы предполагаем, что вы уже скачали эти два файла (сам пакет и подпись) в папку "Загрузки" ("Downloads"). Обратите внимание, что в этих командах используются примерные имена файлов, а ваши будут отличаться: вам нужно будет заменить примерные имена файлов на точные имена файлов, которые вы загрузили.
Для пользователей macOS:
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg
Результат команды должен содержать:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Если увидите сообщение об ошибке вроде "Нет такого файла или папки", значит, что-то пошло не так на одном из предыдущих шагов. Другая причина: вы использовали названия файлов из примеров (ваши реальные названия другие).
Альтернативный вариант (с использованием открытого ключа)
Если вы столкнулись с непреодолимыми ошибками, можете скачать и использовать этот открытый ключ. Как вариант, можно выполнить следующую команду:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Ключ разработчиков Tor Browser также доступен на keys.openpgp.org и может быть загружен с https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Ключ также можно получить, выполнив следующую команду:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Подробнее о GnuPG можно почитать здесь.
Каждому файлу на нашей странице скачивания соответствует "подпись" с тем же именем, что у файла, но с расширением ".asc". Эти файлы .asc – подписи OpenPGP. Подпись удостоверяет, что вы скачали подлинный файл. Бывают отличия в зависимости от браузера, но обычно вы можете скачать файл, если нажмете правой кнопкой мыши на "подписи" и выберете в меню "Сохранить как".
Например, tor-browser-linux-x86_64-14.5.6.tar.xz сопровождается tor-browser-linux-x86_64-14.5.6.tar.xz.asc. Эти имена файлов выбраны для примера. Они не будут в точности совпадать с именами файлов, которые скачиваете вы.
Пожалуйста, учтите, что подпись датируется тем числом, когда файл был подписан. Для каждого нового файла, размещенного на сайте, существует отдельная подпись со своей датой. Если вы уже проверили подпись, на даты можно не обращать внимание.
Установка GnuPG
Если вы пользуетесь GNU/Linux, вероятно, программа GnuPG у вас уже установлена. Большинство сборок GNU/Linux включают GnuPG по умолчанию.
Для проверки подписи вам нужно будет ввести несколько команд в окне терминала. Способы выполнения зависят от вашего дистрибутива.
Получение ключа разработчиков Tor
Новые версии Tor Browser подписаны ключом команды Tor Browser. Импортируйте ключ разработчиков Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Вы увидите что-то в этом роде:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
ПРИМЕЧАНИЕ: Ваши выходные данные могут несколько отличаться от приведенных выше (например, даты истечения срока действия), однако вы должны увидеть, что ключ импортирован правильно.
Если вы видите сообщение об ошибке, то не сможете продолжить, пока не выясните причину. Возможно, импортировать ключ получится способом, описанным в разделе Альтернативный вариант (с использованием открытого ключа).
После того, как ключ импортирован, вы можете сохранить его в файл (для идентификации служит отпечаток):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
В результате ключ будет сохранён в файле в папке ./tor.keyring, то есть, в текущей папке. Если после выполнения этой команды не появится ./tor.keyring, значит, что-то пошло не так. Вы не сможете продолжить, пока не выясните причину.
Проверка подписи
Чтобы проверить подпись для пакета с помощью GnuPG, нужно скачать также прилагаемый .asc-файл с подписью.
В следующих примерах мы предполагаем, что вы уже скачали эти два файла (сам пакет и подпись) в папку "Загрузки" ("Downloads"). Обратите внимание, что в этих командах используются примерные имена файлов, а ваши будут отличаться: вам нужно будет заменить примерные имена файлов на точные имена файлов, которые вы загрузили.
Пользователи GNU/Linux (измените x86_64 на i686, если у вас 32-битный пакет):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz
Результат команды должен содержать:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Если увидите сообщение об ошибке вроде "Нет такого файла или папки", значит, что-то пошло не так на одном из предыдущих шагов. Другая причина: вы использовали названия файлов из примеров (ваши реальные названия другие).
Обновление ключа PGP
Выполните следующую команду, чтобы обновить ключ подписи разработчиков браузера Tor в локальном наборе ключей с сервера ключей. Это также приведет к получению новых подразделов.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Альтернативный вариант (с использованием открытого ключа)
Если вы столкнулись с непреодолимыми ошибками, можете скачать и использовать этот открытый ключ. Как вариант, можно выполнить следующую команду:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Ключ разработчиков Tor Browser также доступен на keys.openpgp.org и может быть загружен с https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Ключ также можно получить, выполнив следующую команду:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Подробнее о GnuPG можно почитать здесь.