Tahadhari: Maelekezo haya ya kuthibitisha chanzo cha msimbo wa Tor. Tafadhali fuata maelekezo sahihi ili kuthibitisha Tor Browser's signature.

Digital signature ni mfumo unaohakikisha kua kifurushi fulani kilitolewa na watengenezaji na haikuharibiwa. Chini tumeeleza kwanini ni muhimu na jinsi ya kuthibitisha vyanzo vya msimbo wa tor uliyoipakua ni mojawapo tuliyoitengeneza na haijaboreshwa na baadhi ya washambuliaji.

Kila failia katika kurasa yetu iliyopakuliwa inaambatana na mafaili mawili ambayo yamewekwan leno "checksum" na "sig" yakiwa na majina sawa kama kifurushi na kiambatanishi .sha256sum" na ".sha256sum.asc" kwa mtiririko huo.

Faili la .asc litathibitisha kuwa faili .sha256sum (limekusanya kifurushi cha checksum) haijaingiliwa. Mara tu sahihi inapothibitisha (angalia chini jinsi ya kufanya), kifurushi cha uadilifu kitaweza kuthibitishwa:

$ sha256sum -c *.sha256sum

Faili hili linakuruhusu kuhakikisha faili ulilopakua ndio hilo ulilotarajia kulipata. Hii inaweza kutofautiana kutokana na kivinjari cha tovuti, lakini kwa kawaida unaweza kupakua faili hili kwa kubofya upande wa kulia wa anwani za "sig" na "checksum" na kuchagua "save file as".

Kwa mfano, tor-0.4.6.7.tar.gz is accompanied by tor-0.4.6.7.tar.gz.sha256sum.asc. Kuna mfano jina la faili halifanani kabisa na jina la faili ulilopakua.

Kwa sasa tunaonesha ni kwa jinsi gani unaweza kuthibitisha faili lililopakuliwa kwa digital signature katika mifumo mbalimbali ya uendeshaji. Tafadhali kumbuka kuwa sahihi ni tarehe wakati kifurushi kimetiwa sahihi. Kwa ujumla kila muda faili jipya linapakuliwa kwa sahihi mpya inayotokana na tarehe tofauti. Ilimradi umeshathibitisha sahihi hupaswi kujali kuwa tarehe iliyoripotiwa inaweza kutofautiana.

pakua GnuPG

Awali ya yote unahitaji kuwa na GnuPG iliyosanidiwa kabla haujathibitisha sahihi.

Kwa watumiaji wa Windows:

Ikiwa unatumia windowa, pakua Gpg4win na endesha kisanikishi chake.

Ili kuthibitisha sahihi unahitaji kuandika commands chache katika mstari wa command wa window, cmd.exe.

Kwa watumiaji wa macOS:

Ikiwa unatumia macOS, unaweza sanikisha GPGTools.

Ili kuthibitisha sahihi unahitaji kuandika command chache katika Terminal (under "Applications").

Kwa watumiaji wa GNU/Linux:

Ikiwa unatumia GNU/Linux, labda tayari unayo GnuPG katika mfumo wako, kwa kuwa usambazaji mwingi wa GNU/Linux huja ikiwa imewekwa tayari.

Ili kuthibitisha sahihi utahitaji kuandika commands chache katika terminal window. Jinsi ya kufanya hivi hutofautiana kulinganana usambazaji wako.

kutafuta Tor kwa funguo ya watengenezaji

Funguo zifuatazo zinaweza kuweka sahihi katika tarball. Usizitarajie kabisa, zinaweza kutofautiana kutegemeana na nani anapatikana ili ziweze kutolewa.

Unaweza kutafura funguo yenye anwani uliyopewa hapo juu au ndani yake:

$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org
$ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org
$ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org

Hii inapaswa kukuonesha kitu kama (for nickm):

gpg: key FE43009C4607B1FB: public key "Nick Mathewson <nickm@torproject.org>" imported
gpg: Jumla ya number ya zilizoshughulikiwa: 1
gpg:               imported: 1
pub   rsa4096 2016-09-21 [C] [expires: 2025-10-04]
      2133BC600AB133E1D826D173FE43009C4607B1FB
uid           [ unknown] Nick Mathewson <nickm@torproject.org>
sub   rsa4096 2016-09-23 [S] [expires: 2025-10-04]
sub   rsa4096 2016-09-23 [E] [expires: 2025-10-04]

Ukipata ujumbe wenye makosa, kuna kitu kimeenda vibaya na huwezi kuendelea hadi utambue kwanini haifanyi kazi. Unaweza kuweza kuagiza funguo kwa kutumia sehemu ya Njia mbadala (kutumia alama za wazi) badala yake.

Baada ya kuingiza funguo, unapaswa kuzitunza katika faili (kiutambua kwa fingerprint hapa):

$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB

Matokeo ya amri ni muhimu kuhifadhiwa katika faili lililopatikana ./tor.keyring, mfano katika muongozo wa sasa. Kama ./or.keyring haipo baada ya kutumia command hii, kuna kitu kina makosa na huwezi kuendelea hadi uwe umetatua kwanini hichi hakifanyi kazi.

hakiki saini

Kuthibitisha sahihi ya kifurushi ulichopakua, utahitaji kupakua faili lenyewe sambamba na .sha256sum.asc signature file and the .sha256sum, na kuthibitisha hii kwa command inayouliza GnuPG ili kuthibitisha faili ulilolipakua.

Mifano hapa chini inadhani kuwa ulipakua mafaili haya mawili kwenye folda lako la "Downloads". Kumbuka kuwa hizi commands tumia mfano wa majina ya faili na yako tofauti: unaweza kupakua toleo tofauti zaidi ya 9.0 na unaweza kuchagua toleo la kiingereza (en-US).

Kwa watumiaji wa Windows:

gpgv --keyring .\tor.keyring Downloads\tor-0.4.6.10.tar.gz.sha256sum.asc Downloads\tor-0.4.6.10.tar.gz.sha256sum

Kwa watumiaji wa macOS:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum

Kwa watumiaji wa BSD/Linux:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum

Matokeo ya command yanapaswa kutoa kitu kama hichi (Kutegemeana na funguo ipi imesainiwa):

gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03
gpgv:                using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601
gpgv: Good signature from "Nick Mathewson <nickm@torproject.org>"

Ikiwa unapata ujumbe wenye makosa zenye "No such file or directory', labda kuna kitu hakipo sawa katika hatua mojawapo zilizopita, au umesahau kuwa hizi command unazotumia kwa mfano majina ya file na yako yatakuwa na utofauti kidogo.

unaweza pia kuhitaji kujifunza zaidi kuhusu GnuPG.

Hakiki checksum

Sasa kwa kuwa tulithibitisha sahihi ya checksum, tunahitaji kuthibitisha the ubora/uwezo wa kifurushi.

Kwa watumiaji wa Windows:

certUtil -hashfile tor-0.4.6.10.tar.gz.sha256sum SHA256

Kwa watumiaji wa macOS:

shasum -a 256 tor-0.4.6.10.tar.gz.sha256sum

Kwa watumiaji wa BSD/Linux:

sha256sum -c tor-0.4.6.10.tar.gz.sha256sum