How to verify Tor Browser's signature
A digital signature is a process that ensures a package was generated by its developers and has not been tampered with. Below we explain why it is important and how to verify that the Tor Browser you download is the one we created and has not been modified by an attacker.
Каждому файлу на нашей странице скачивания соответствует "подпись" с тем же именем, что у файла, но с расширением ".asc". Эти файлы .asc – подписи OpenPGP. Подпись удостоверяет, что вы скачали подлинный файл. Бывают отличия в зависимости от браузера, но обычно вы можете скачать файл, если нажмете правой кнопкой мыши на "подписи" и выберете в меню "Сохранить как".
Например, tor-browser-windows-x86_64-portable-13.0.1.exe сопровождается tor-browser-windows-x86_64-portable-13.0.1.exe.asc. Эти имена файлов выбраны для примера. Они не будут в точности совпадать с именами файлов, которые скачиваете вы.
Пожалуйста, учтите, что подпись датируется тем числом, когда файл был подписан. Для каждого нового файла, размещенного на сайте, существует отдельная подпись со своей датой. Если вы уже проверили подпись, на даты можно не обращать внимание.
Установка GnuPG
Для проверки подписей сначала нужно установить программу GnuPG. Если вы пользователь Windows, скачайте Gpg4win и запустите программу установки. Чтобы проверить подпись, понадобится набрать несколько команд в командной строке (cmd.exe).
Получение ключа разработчиков Tor
Новые версии Tor Browser подписаны ключом команды Tor Browser. Импортируйте ключ разработчиков Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Вы увидите что-то в этом роде:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
ПРИМЕЧАНИЕ: Ваши выходные данные могут несколько отличаться от приведенных выше (например, даты истечения срока действия), однако вы должны увидеть, что ключ импортирован правильно.
Если вы видите сообщение об ошибке, то не сможете продолжить, пока не выясните причину. Возможно, импортировать ключ получится способом, описанным в разделе Альтернативный вариант (с использованием открытого ключа).
После того, как ключ импортирован, вы можете сохранить его в файл (для идентификации служит отпечаток):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
В результате ключ будет сохранён в файле в папке ./tor.keyring, то есть, в текущей папке. Если после выполнения этой команды не появится ./tor.keyring, значит, что-то пошло не так. Вы не сможете продолжить, пока не выясните причину.
Проверка подписи
Чтобы проверить подпись для пакета с помощью GnuPG, нужно скачать также прилагаемый .asc-файл с подписью.
В следующих примерах мы предполагаем, что вы уже скачали эти два файла (сам пакет и подпись) в папку "Загрузки" ("Downloads"). Обратите внимание, что в этих командах используются примерные имена файлов, а ваши будут отличаться: вам нужно будет заменить примерные имена файлов на точные имена файлов, которые вы загрузили.
Для пользователей Windows (измените x86_64 на i686, если у вас 32-битный пакет):
gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe
Результат команды должен содержать:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Если увидите сообщение об ошибке вроде "Нет такого файла или папки", значит, что-то пошло не так на одном из предыдущих шагов. Другая причина: вы использовали названия файлов из примеров (ваши реальные названия другие).
Обновление ключа PGP
Выполните следующую команду, чтобы обновить ключ подписи разработчиков браузера Tor в локальном наборе ключей с сервера ключей. Это также приведет к получению новых подразделов.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Альтернативный вариант (с использованием открытого ключа)
Если вы столкнулись с непреодолимыми ошибками, можете скачать и использовать этот открытый ключ. Как вариант, можно выполнить следующую команду:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Ключ разработчиков Tor Browser также доступен на keys.openpgp.org и может быть загружен с https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Подробнее о GnuPG можно почитать здесь.
Каждому файлу на нашей странице скачивания соответствует "подпись" с тем же именем, что у файла, но с расширением ".asc". Эти файлы .asc – подписи OpenPGP. Подпись удостоверяет, что вы скачали подлинный файл. Бывают отличия в зависимости от браузера, но обычно вы можете скачать файл, если нажмете правой кнопкой мыши на "подписи" и выберете в меню "Сохранить как".
For example, tor-browser-macos-14.5.6.dmg is accompanied by tor-browser-macos-14.5.6.dmg.asc. Эти имена файлов выбраны для примера. Они не будут в точности совпадать с именами файлов, которые скачиваете вы.
Пожалуйста, учтите, что подпись датируется тем числом, когда файл был подписан. Для каждого нового файла, размещенного на сайте, существует отдельная подпись со своей датой. Если вы уже проверили подпись, на даты можно не обращать внимание.
Установка GnuPG
Для проверки подписей сначала нужно установить программу GnuPG. Если вы пользуетесь macOS, можете установить GPGTools.
Чтобы проверить подпись, понадобится набрать несколько команд в Терминале (найдите его среди приложений).
Получение ключа разработчиков Tor
Новые версии Tor Browser подписаны ключом команды Tor Browser. Импортируйте ключ разработчиков Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Вы увидите что-то в этом роде:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
ПРИМЕЧАНИЕ: Ваши выходные данные могут несколько отличаться от приведенных выше (например, даты истечения срока действия), однако вы должны увидеть, что ключ импортирован правильно.
Если вы видите сообщение об ошибке, то не сможете продолжить, пока не выясните причину. Возможно, импортировать ключ получится способом, описанным в разделе Альтернативный вариант (с использованием открытого ключа).
После того, как ключ импортирован, вы можете сохранить его в файл (для идентификации служит отпечаток):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
В результате ключ будет сохранён в файле в папке ./tor.keyring, то есть, в текущей папке. Если после выполнения этой команды не появится ./tor.keyring, значит, что-то пошло не так. Вы не сможете продолжить, пока не выясните причину.
Проверка подписи
Чтобы проверить подпись для пакета с помощью GnuPG, нужно скачать также прилагаемый .asc-файл с подписью.
В следующих примерах мы предполагаем, что вы уже скачали эти два файла (сам пакет и подпись) в папку "Загрузки" ("Downloads"). Обратите внимание, что в этих командах используются примерные имена файлов, а ваши будут отличаться: вам нужно будет заменить примерные имена файлов на точные имена файлов, которые вы загрузили.
Для пользователей macOS:
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg
Результат команды должен содержать:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Если увидите сообщение об ошибке вроде "Нет такого файла или папки", значит, что-то пошло не так на одном из предыдущих шагов. Другая причина: вы использовали названия файлов из примеров (ваши реальные названия другие).
Альтернативный вариант (с использованием открытого ключа)
Если вы столкнулись с непреодолимыми ошибками, можете скачать и использовать этот открытый ключ. Как вариант, можно выполнить следующую команду:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Ключ разработчиков Tor Browser также доступен на keys.openpgp.org и может быть загружен с https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. The key can also be fetched by running the following command:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Подробнее о GnuPG можно почитать здесь.
Каждому файлу на нашей странице скачивания соответствует "подпись" с тем же именем, что у файла, но с расширением ".asc". Эти файлы .asc – подписи OpenPGP. Подпись удостоверяет, что вы скачали подлинный файл. Бывают отличия в зависимости от браузера, но обычно вы можете скачать файл, если нажмете правой кнопкой мыши на "подписи" и выберете в меню "Сохранить как".
For example, tor-browser-linux-x86_64-14.5.6.tar.xz is accompanied by tor-browser-linux-x86_64-14.5.6.tar.xz.asc. Эти имена файлов выбраны для примера. Они не будут в точности совпадать с именами файлов, которые скачиваете вы.
Пожалуйста, учтите, что подпись датируется тем числом, когда файл был подписан. Для каждого нового файла, размещенного на сайте, существует отдельная подпись со своей датой. Если вы уже проверили подпись, на даты можно не обращать внимание.
Установка GnuPG
Если вы пользуетесь GNU/Linux, вероятно, программа GnuPG у вас уже установлена. Большинство сборок GNU/Linux включают GnuPG по умолчанию.
In order to verify the signature you will need to type a few commands in a terminal window. How to do this will vary depending on your distribution.
Получение ключа разработчиков Tor
Новые версии Tor Browser подписаны ключом команды Tor Browser. Импортируйте ключ разработчиков Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Вы увидите что-то в этом роде:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
ПРИМЕЧАНИЕ: Ваши выходные данные могут несколько отличаться от приведенных выше (например, даты истечения срока действия), однако вы должны увидеть, что ключ импортирован правильно.
Если вы видите сообщение об ошибке, то не сможете продолжить, пока не выясните причину. Возможно, импортировать ключ получится способом, описанным в разделе Альтернативный вариант (с использованием открытого ключа).
После того, как ключ импортирован, вы можете сохранить его в файл (для идентификации служит отпечаток):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
В результате ключ будет сохранён в файле в папке ./tor.keyring, то есть, в текущей папке. Если после выполнения этой команды не появится ./tor.keyring, значит, что-то пошло не так. Вы не сможете продолжить, пока не выясните причину.
Проверка подписи
Чтобы проверить подпись для пакета с помощью GnuPG, нужно скачать также прилагаемый .asc-файл с подписью.
В следующих примерах мы предполагаем, что вы уже скачали эти два файла (сам пакет и подпись) в папку "Загрузки" ("Downloads"). Обратите внимание, что в этих командах используются примерные имена файлов, а ваши будут отличаться: вам нужно будет заменить примерные имена файлов на точные имена файлов, которые вы загрузили.
For GNU/Linux users (change x86_64 to i686 if you have the 32-bit package):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz
Результат команды должен содержать:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Если увидите сообщение об ошибке вроде "Нет такого файла или папки", значит, что-то пошло не так на одном из предыдущих шагов. Другая причина: вы использовали названия файлов из примеров (ваши реальные названия другие).
Обновление ключа PGP
Выполните следующую команду, чтобы обновить ключ подписи разработчиков браузера Tor в локальном наборе ключей с сервера ключей. Это также приведет к получению новых подразделов.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Альтернативный вариант (с использованием открытого ключа)
Если вы столкнулись с непреодолимыми ошибками, можете скачать и использовать этот открытый ключ. Как вариант, можно выполнить следующую команду:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Ключ разработчиков Tor Browser также доступен на keys.openpgp.org и может быть загружен с https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. The key can also be fetched by running the following command:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Подробнее о GnuPG можно почитать здесь.