Bir sayısal imza, bir paketin gerçekten özgün geliştiricileri tarafından üretildiğini ve üzerinde sonradan bir değişiklik yapılmadığını anlamak için kullanılır. Below we explain why it is important and how to verify that the Tor Browser you download is the one we have created and has not been modified by some attacker.

İndirme sayfasındaki tüm dosyalar için paket ile aynı adı taşıyan ".asc" uzantılı bir "imza" dosyası bulunur. These .asc files are OpenPGP signatures. Bu .asc dosyaları OpenPGP imzalarıdır. Bu imzalar, indirdiğiniz dosyanın tam olarak almanızı istediğimiz dosya olduğunu doğrulamanızı sağlar. Bu işlem web tarayıcınıza göre değişebilir. Ancak genellikle bu dosyayı "imza" bağlantısı üzerine sağ tıklayıp "farklı kaydet" üzerine tıklayarak indirebilirsiniz.

Örneğin, torbrowser-install-win64-9.0_en-US.exe dosyasının imza dosyası torbrowser-install-win64-9.0_en-US.exe.asc şeklindedir. Bunlar örnek dosya adlarıdır ve indirdiğiniz dosya adlarıyla birebir aynı olmaz.

Şimdi size, indirdiğiniz bir dosyanın sayısal imzasını farklı işletim sistemleri üzerinde nasıl doğrulayabileceğinizi anlatacağız. İmza dosyası tarihinin, paketin imzalandığı tarih ile aynı olduğunu görebilirsiniz. Yani her yeni paket dosyası yüklendiğinde, farklı bir tarihi olan yeni bir imza oluşturulur. İmzayı doğruladığınız sürece, belirtilen tarihin değişmesi önemli değildir.

GnuPG kurmak

İmzaları doğrulayabilmeniz için öncelikle GnuPG uygulaması kurulmuş olmalıdır.

Windows kullanıcıları için:

Windows kullanıyorsanız, Gpg4win uygulamasını indirip kurucuyu çalıştırın.

İmzayı doğrulamak için cmd.exe windows komut satırında bir kaç komut yazmanız gerekir.

macOS kullanıcıları için:

macOS kullanıyorsanız GPGTools uygulamasını kurabilirsiniz.

İmzayı doğrulamak için Terminal ("Uygulamalar altında") üzerinden bir kaç komut yazmanız gerekir.

GNU/Linux kullanıcıları için:

GNU/Linux kullanıyorsanız, çoğu GNU/Linux dağıtımında önceden kurulmuş olduğundan büyük olasılıkla sisteminizde GnuPG vardır.

İmzayı doğrulamak için uçbirim üzerinden bir kaç komut yazmanız gerekir. Bunu nasıl yapacağınız dağıtımınızın özelliklerine bağlıdır.

Tor geliştiricilerinin anahtarlarını almak

Tor Browser sürümlerini Tor Browser Ekibi imzalar. Tor Browser Geliştiricilerinin imzalama anahtarını içe aktarın (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Bunun sonucunda şöyle bir şey görmelisiniz:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
pub   rsa4096 2014-12-15 [C] [son kullanma: 2025-07-21]
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub   rsa4096 2018-05-26 [S] [son kullanma: 2020-12-19]

Bir hata iletisi görürseniz bir şeyler ters gitmiş demektir ve sorunun ne olduğunu anlayana kadar devam edemezsiniz. Bunun yerine Çözüm (bir genel anahtar kullanmak) bölümünü kullanarak anahtarı içe aktarabilirsiniz.

Anahtarı içe aktardıktan sonra bir dosyaya kaydedebilirsiniz (buradaki parmak izi ile tanımlayarak):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Bu komut sonucunda anahtar, örneğin geçerli klasör içinde ./tor.keyring yolunda bulunan bir dosyaya kaydedilir. Bu komutu yürüttükten sonra ./tor.keyring klasörü yoksa, bir şeyler ters gitmiş demektir ve sorunu anlayana kadar devam edemezsiniz.

İmzayı doğrulamak

İndirdiğiniz paketin imzasını doğrulamak için kurucu dosyasının yanında ilgili ".asc" imza dosyasını da indirmeniz gerekir. Ardından bir GnuPG komutu yazarak indirdiğiniz dosyanın imzasını doğrulayabilirsiniz.

Aşağıdaki örnek komutlar bu iki dosyayı Downloads klasörüne indirdiğinizi varsayarak yazılmıştır. Bu komutların örnek dosya adları kullandığını ve sizin dosyanızın farklı olabileceğini unutmayın.9.0 sürümü yerine başka bir sürümü ya da İngilizce (en-US) yerine başka bir dili seçmiş olabilirsiniz.

Windows kullanıcıları için:

gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-9.0_en-US.exe.asc Downloads\torbrowser-install-win64-9.0_en-US.exe

macOS kullanıcıları için:

gpgv --keyring ./tor.keyring ~/Downloads/TorBrowser-9.0-osx64_en-US.dmg.asc ~/Downloads/TorBrowser-9.0-osx64_en-US.dmg

GNU/Linux kullanıcıları için (32 bit paketi kullanıyorsanız 64 yerine 32 yazın):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-9.0_en-US.tar.xz.asc ~/Downloads/tor-browser-linux64-9.0_en-US.tar.xz

Komutun sonucunda şöyle bir şey görmelisiniz:

gpgv: Signature made 07/08/19 04:03:49 Pacific Daylight Time
gpgv:                using RSA key EB774491D9FF06E2
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

'Dosya ya da klasör bulunamadı' şeklinde hata iletileri alırsanız ya önceki adımlarda bir şeyler yanlıştır ya da örnek dosya adlarını sizin durumunuza uyan dosya adları ile değiştirmemişsinizdir.

Çözüm (herkese açık bir anahtar kullanarak)

Çözemediğiniz sorunlar ile karşılaşıyorsanız bunun yerine herkese açık anahtarı indirip kullanmaktan çekinmeyin. Alternatif olarak şu komutu kullanabilirsiniz:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Tor Browser geliştiricilerinin anahtarı keys.openpgp.org üzerinde de bulunabilir ve https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290 adresinden indirilebilir. MacOS veya GNU/Linux kullanıyorsanız, anahtarı aşağıdaki komutu yürüterek de alabilirsiniz:
$ gpg --keyserver keys.openpgp.org --search-keys torbrowser@torproject.org

GnuPG hakkında ayrıntılı bilgi almak için buraya tıklayabilirsiniz.