Bir sayısal imza, bir paketin gerçekten özgün geliştiricileri tarafından üretildiğini ve üzerinde sonradan bir değişiklik yapılmadığını anlamak için kullanılır. Aşağıda bunun neden önemli olduğunu ve indirdiğiniz bir Tor kopyasının bizim tarafımızdan oluşturulmuş ve bazı saldırganlar tarafından değiştirilmemiş olduğunu nasıl anlayabileceğinizi anlatacağız.

İndirme sayfamızdaki her dosyanın yanında dosya ile aynı adı taşıyan ".asc" uzantılı bir dosya daha bulunur. Bu .asc dosyaları GPG imzalarıdır. Bu imzalar, indirdiğiniz dosyanın tam olarak almanızı istediğimiz dosya olduğunu doğrulamanızı sağlar. Örneğin, torbrowser-install-8.0.8_en-US.exe dosyasının imza dosyası torbrowser-install-8.0.8_en-US.exe.asc şeklindedir. Paketi imzalayan geliştiriciyi öğrenmek için imza anahtarları sayfasına bakabilirsiniz.

Şimdi size, indirdiğiniz bir dosyanın sayısal imzasını farklı işletim sistemleri üzerinde nasıl doğrulayabileceğinizi anlatacağız. İmza dosyası tarihinin, paketin imzalandığı tarih ile aynı olduğunu görebilirsiniz. Yani her yeni paket dosyası yüklendiğinde, farklı bir tarihi olan yeni bir imza oluşturulur. İmzayı doğruladığınız sürece, belirtilen tarihin değişmesi önemli değildir.

Windows

İmzaları doğrulayabilmeniz için öncelikle GnuPG uygulaması kurulmuş olmalıdır. https://gpg4win.org/download.html adresinden indirebilirsiniz.

Kurduktan sonra paketinizin imzalandığı anahtarı GnuPG uygulamasında içe aktarın. İmzayı doğrulamak için Windows komut satırında (cmd.exe) bir kaç komut yazıp yürütmeniz gerekecek.

Tor Browser sürümlerini Tor Browser Ekibi imzalar. cmd.exe uygulamasını çalıştırıp şu komutu yazarak Tor Browser ekibinin anahtarını (0x4E2C6E8793298290) içe aktarın:

gpg.exe --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Anahtarı içe aktardıktan sonra parmak izinin doğru olup olmadığını denetleyebilirsiniz.

gpg.exe --fingerprint 0x4E2C6E8793298290

Şu sonucu görmelisiniz:

pub   rsa4096/0x4E2C6E8793298290 2014-12-15 [C] [expires: 2020-08-24]
      Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290

(Anahtar Parmak İzi = EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290) uid [ unknown] Tor Browser Developers (signing key) <torbrowser&at;torproject.org> (uid [ bilinmiyor] Tor Browser Geliştiricileri (imzalayan anahtar) <torbrowser&at;torproject.org>) sub rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [expires: 2020-09-12] (sub rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [son kullanma: 2020-09-12]) Key fingerprint = 1107 75B5 D101 FB36 BC6C 911B EB77 4491 D9FF 06E2 (Anahtar Parmak İzi = 1107 75B5 D101 FB36 BC6C 911B EB77 4491 D9FF 06E2)

İndirdiğiniz paketin imzasını doğrulamak için ".asc" dosyasını da indirmeniz gerekir. Paket ve imza dosyasını Masaüstünüze indirdiğinizi varsayarsak şu komutu yazın:

gpg.exe --verify C:\\Users\\Alice\\Desktop\\torbrowser-install-win64-8.0.8_en-US.exe.asc C:\\Users\\Alice\\Desktop\\torbrowser-install-8.0.8_en-US.exe

Lütfen "Alice" yerine kendi kullanıcı adınızı yazın.

Sonuç "Good signature" (imza doğru) olmalıdır.

gpg: Signature made Tue 12 Feb 2019 08:27:41 AM EST

gpg: İmza oluşturulma tarihi Sal 12 Şub 2019 08:27:41 AM EST gpg: using RSA key EB774491D9FF06E2 (gpg: Şu RSA anahtarı kullanılarak EB774491D9FF06E2) gpg: Good signature from "Tor Browser Developers (signing key) torbrowser@torproject.org" [unknown] (gpg: "Tor Browser Geliştiricilerinden (imzalayan anahtar) imza doğru torbrowser@torproject.org" [bilinmiyor]) gpg: WARNING: This key is not certified with a trusted signature! (gpg: UYARI: Bu anahtar güvenilen bir imza ile sertifikalandırılmamış!) gpg: There is no indication that the signature belongs to the owner. (gpg: İmzanın sahibine ait olduğu ile ilgili herhangi bir belirti yok.) Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290 (Birincil anahtar parmak izi: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290) Subkey fingerprint: 1107 75B5 D101 FB36 BC6C 911B EB77 4491 D9FF 06E2 (Alt anahtar parmak izi: 1107 75B5 D101 FB36 BC6C 911B EB77 4491 D9FF 06E2)

Geçerli alt anahtar parmak izleri:

1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Bu kişiye bir güven endeksi atamamış olduğunuz için bir uyarı verildiğini unutmayın. Bu sonuç GnuPG tarafından bu imzayı oluşturan anahtarın doğrulandığını gösterir. Ancak bu anahtarın gerçekten geliştiriciye ait olup olmadığına siz karar vermelisiniz. En iyi yöntem geliştirici ile doğrudan görüşerek parmak izlerini değiş tokuş etmektir.

macOS ve Linux

İmzaları doğrulayabilmeniz için öncelikle GnuPG uygulaması kurulmuş olmalıdır. macOS kullanıyorsanız https://www.gpgtools.org/ adresinden indirip kurabilirsiniz. Linux kullanıyorsanız çoğu Linux dağıtımında önceden kurulmuş olarak geldiği için büyük olasılıkla bilgisayarınızda da GnuPG kuruludur.

GnuPG kullanmak için sonraki adımda paketinizi imzalayan anahtarı içe aktarmalısınız. Tor Browser sürümlerini Tor Browser Ekibi imzalar. Uçbirim uygulamasını çalıştırarak (macOS üzerinde "Uygulamalar" altından) anahtarı (0x4E2C6E8793298290) içe aktarmak için şunu yazın:

gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Anahtarı içe aktardıktan sonra parmak izinin doğru olup olmadığını denetleyebilirsiniz.

gpg --fingerprint 0x4E2C6E8793298290

Şu sonucu görmelisiniz:

pub   rsa4096/0x4E2C6E8793298290 2014-12-15 [C] [expires: 2020-08-24]
      Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290

(Anahtar Parmak İzi = EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290) uid [ unknown] Tor Browser Developers (signing key) <torbrowser&at;torproject.org> (uid [ bilinmiyor] Tor Browser Geliştiricileri (imzalayan anahtar) <torbrowser&at;torproject.org>) sub rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [expires: 2020-09-12] (sub rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [son kullanma: 2020-09-12]) Key fingerprint = 1107 75B5 D101 FB36 BC6C 911B EB77 4491 D9FF 06E2 (Anahtar Parmak İzi = 1107 75B5 D101 FB36 BC6C 911B EB77 4491 D9FF 06E2)

İndirdiğiniz paketin imzasını doğrulamak için ".asc" dosyasını da indirmeniz gerekir. Paket ve imza dosyasını Downloads klasörüne indirdiğinizi varsayarsak şu komutu yazın:

macOS kullanıcıları için:

gpg --verify ~/Downloads/TorBrowser-8.0.8-osx64_en-US.dmg{.asc,}

Linux kullanıcıları için (32-bit kullanıyorsanız 64 yerine 32 yazın):

gpg --verify tor-browser-linux64-8.0.8_en-US.tar.xz{.asc,}

Sonuç "Good signature" (imza doğru) olmalıdır.

gpg: Signature made Wed 15 Nov 2017 05:52:38 PM CET

gpg: İmza oluşturulma tarihi Çar 15 Kas 2017 05:52:38 PM CET gpg: using RSA key 0xD1483FA6C3C07136 (gpg: Şu RSA anahtarı kullanılarak 0xD1483FA6C3C07136) gpg: Good signature from "Tor Browser Developers (signing key) <torbrowser&at;torproject.org>" [unknown] (gpg: "Tor Browser Geliştiricilerinden (imzalayan anahtar) imza doğru <torbrowser&at;torproject.org>" [bilinmiyor]) gpg: WARNING: This key is not certified with a trusted signature! (gpg: UYARI: Bu anahtar güvenilen bir imza ile sertifikalandırılmamış!) gpg: There is no indication that the signature belongs to the owner. (gpg: İmzanın sahibine ait olduğu ile ilgili herhangi bir belirti yok.) Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290 (Birincil anahtar parmak izi: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290) Subkey fingerprint: A430 0A6B C93C 0877 A445 1486 D148 3FA6 C3C0 7136 Alt anahtar parmak izi: A430 0A6B C93C 0877 A445 1486 D148 3FA6 C3C0 7136

Geçerli alt anahtar parmak izleri:

1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Bu kişiye bir güven endeksi atamamış olduğunuz için bir uyarı verildiğini unutmayın. Bu sonuç GnuPG tarafından bu imzayı oluşturan anahtarın doğrulandığını gösterir. Ancak bu anahtarın gerçekten geliştiriciye ait olup olmadığına siz karar vermelisiniz. En iyi yöntem geliştirici ile doğrudan görüşerek parmak izlerini değiş tokuş etmektir.

GnuPG hakkında ayrıntılı bilgi almak için https://www.gnupg.org/documentation/ adresine bakabilirsiniz.