Цифровий підпис — це процес, який гарантує, що певний пакунок створено його розробниками та не було підроблено. Нижче ми пояснюємо, чому це важливо та як переконатися, що Tor Browser, який ви завантажуєте, створений нами й не був змінений якимось зловмисником.

Кожен файл на нашій сторінці завантаження супроводжується файлом з міткою «підпис» з такою ж назвою, що і пакет, і розширенням «.asc». Ці файли .asc є підписами OpenPGP. Вони дозволяють підтвердити, що завантажений файл — саме той, який ми вам відправили. Це залежить від вебпереглядача, але зазвичай ви можете завантажити цей файл, клацнувши правою кнопкою миші на посилання «підпис» і обрати опцію «зберегти файл як».

Наприклад, torbrowser-install-win64-9.0_en-US.exe супроводжується torbrowser-install-win64-9.0_en-US.exe.asc. Це приклади назв файлів, які не будуть точно відповідати іменам файлів, які ви завантажуєте.

Тепер ми покажемо, як можна перевірити цифровий підпис завантаженого файлу в різних операційних системах. Зверніть увагу, що підпис датується моментом підписання пакунку. Тому щоразу, коли ми завантажуємо новий файл, створюється новий підпис з іншою датою. Якщо ви перевірили підпис, вам не слід турбуватися про те, що показана дата може відрізнятися.

Встановлення GnuPG

Перш за все, вам потрібно встановити GnuPG, перш ніж ви зможете перевірити підписи.

Для користувачів Windows:

Якщо у вас Windows, завантажте Gpg4win і запустіть встановлювач.

Щоб перевірити підпис, вам потрібно буде ввести кілька команд у командному рядку Windows cmd.exe.

Для користувачів macOS:

Якщо ви використовуєте macOS, ви можете встановити GPGTools.

Щоб перевірити підпис, вам потрібно буде ввести кілька команд у терміналі (у розділі «Програми»).

Для користувачів GNU/Linux:

Якщо ви використовуєте GNU/Linux, то, ймовірно, у вас уже є GnuPG у вашій системі, оскільки більшість дистрибутивів GNU/Linux поставляються з попередньо встановленим GnuPG.

Щоб перевірити підпис, потрібно буде ввести кілька команд у вікні терміналу. Як це зробити залежить від вашого дистрибутиву.

Отримання ключа розробників Tor

Команда Tor Browser підписує релізи Tor Browser. Імпортуйте ключ підпису розробників Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Це має показати вам щось на кшталт:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
pub rsa4096 2014-12-15 [C] [термін дії: 2025-07-21]
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub   rsa4096 2018-05-26 [S] [expires: 2020-12-19]

Якщо ви отримаєте повідомлення про помилку, то щось пішло не так, і ви не можете продовжувати, допоки не з'ясуєте, чому виникла ця помилка. Можливо, ви зможете імпортувати ключ, використовуючи розділ Обхідне рішення (використання відкритого ключа).

Після імпортування ключа ви можете зберегти його у файл (ідентифікуючи його за його відбитком тут):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Ця команда призводить до того, що ключ зберігається у файлі, що знаходиться за шляхом ./tor.keyring, тобто у поточному каталозі. Якщо після виконання цієї команди ./tor.keyring не з'являється, то щось пішло не так, і ви не можете продовжувати, поки не з'ясуєте у чому помилка.

Перевірка підпису

Щоб перевірити підпис пакунку, вам потрібно завантажити відповідний файл підпису «.asc», а також сам файл встановлювача та перевірити його за допомогою команди до GnuPG щодо перевірки завантаженого файлу.

Наведені нижче приклади припускають, що ви завантажили ці два файли до папки Завантаження. Зауважте, що ці команди використовують приклади назв файлів. У вашому випадку імена файлів відрізнятимуться, оскільки ви завантажили не версію 9.0, та й можливо, обрали не англійську (en-US) версію.

Для користувачів Windows:

gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-9.0_en-US.exe.asc Downloads\torbrowser-install-win64-9.0_en-US.exe

Для користувачів macOS:

gpgv --keyring ./tor.keyring ~/Downloads/TorBrowser-9.0-osx64_en-US.dmg.asc ~/Downloads/TorBrowser-9.0-osx64_en-US.dmg

Для користувачів GNU/Linux (змініть 64 на 32, якщо у вас є 32-розрядний пакет):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-9.0_en-US.tar.xz.asc ~/Downloads/tor-browser-linux64-9.0_en-US.tar.xz

Результат виконання команди має надати щось на зразок цього:

gpgv: Signature made 07/08/19 04:03:49 Pacific Daylight Time
gpgv:                using RSA key EB774491D9FF06E2
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

Якщо ви отримуєте повідомлення про помилку, що містять «Немає такого файлу чи каталогу», це означає, що щось пішло не так з одним із попередніх кроків, або ви забули, що ці команди використовують приклади імен файлів, а ваші будуть дещо відрізнятися.

Обхідний шлях (з використанням відкритого ключа)

Якщо ви зіткнулися з помилками, які не можете виправити, то можете завантажити та використовувати цей відкритий ключ. Крім того, ви можете використовувати наступну команду:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Ключ розробника Tor Browser також доступний на keys.openpgp.org і його можна завантажити з https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Якщо ви використовуєте MacOS або GNU/Linux, ключ також можна отримати, виконавши таку команду:
$ gpg --keyserver keys.openpgp.org --search-keys torbrowser@torproject.org

Ви також можете дізнатися більше про GnuPG.