Tandatangan digital adalah proses yang memastikan paket tertentu memang diterbitkan oleh pengembangnya dan tidak dirusak. Di bawah ini kami menjelaskan mengapa itu penting dan bagaimana memverifikasi bahwa Tor Browser yang Anda unduh adalah yang kami buat dan belum dimodifikasi oleh beberapa penyerang.

Setiap file di halaman unduhan kami disertai dengan file berlabel "tanda tangan" dengan nama yang sama dengan paket dan tambahan ".asc". File .asc ini adalah tanda tangan OpenPGP. Mereka memperbolehkan Anda untuk memverifikasi berkas yang telah diunduh adalah sama persis dengan apa yang kami ingin Anda terima. Hal ini akan bervariasi di masing-masing peramban, tapi secara umum Anda dapat mengunduh file ini dengan mengklik-kanan link "signture" lalu memilih "simpan file" sebagai opsi.

Misalnya, tor-browser-windows-x86_64-portable-13.0.1.exe disertai dengan tor-browser-windows-x86_64-portable-13.0.1.exe.asc. Ini adalah contoh nama berkas dan tidak akan sama persis dengan nama berkas yang Anda unduh.

Kami sekarang menunjukkan bagaimana Anda dapat memverifikasi tandatangan digital di berkas yang diunduh pada sistem operasi yang berbeda. Harap perhatikan bahwa tanda tangan diberi tanggal saat paket telah ditandatangani. Oleh karena itu setiap kali berkas baru diunggah, tanda tangan baru dibuat dengan tanggal yang berbeda. Selama Anda telah memverifikasi tanda tangan, Anda tidak perlu khawatir bahwa tanggal yang dilaporkan mungkin berbeda.

memasang GnuPG

Pertama-tama Anda harus memasang GnuPG sebelum Anda dapat memverifikasi tanda tangan.

Untuk pengguna Windows:

Jika Anda menggunakan Windows, unduh Gpg4win dan jalankan pemasangnya.

Untuk memverifikasi tanda tangan, Anda perlu mengetik beberapa perintah di baris perintah windows, cmd.exe.

Untuk pengguna macOS:

Jika Anda menggunakan macOS, Anda dapat memasang GPGTools.

Untuk memverifikasi tanda tangan, Anda perlu mengetikkan beberapa perintah di Terminal (di bawah "Aplikasi").

Untuk pengguna GNU/Linux:

Jika Anda menggunakan GNU/Linux, maka Anda mungkin sudah memiliki GnuPG di sistem Anda, karena sebagian besar distribusi GNU/Linux sudah dipasang sebelumnya.

Untuk memverifikasi tanda tangan, Anda perlu mengetik beberapa perintah di jendela terminal. Cara melakukannya akan bervariasi tergantung pada distribusi Anda.

Mengambil kunci Pengembang Tor

Tim Tor Browser menandatangani rilis Tor Browser. Impor kunci penandatanganan Pengembang Browser Tor (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys [email protected]

Ini akan menunjukkan kepada Anda sesuatu seperti:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: Total number processed: 1
gpg:               imported: 1
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <[email protected]>

NOTE: Your output may deviate somewhat from the above (eg. expiration dates), however you should see the key correctly imported.

Jika Anda mendapatkan pesan galat, ini artinya terjadi suatu masalah dan Anda tidak dapat melanjutkan sampai Anda mengetahui mengapa ini tidak berhasil. Anda mungkin dapat mengimpor kunci menggunakan bagian Solusi (menggunakan kunci publik) sebagai gantinya.

Setelah mengimpor kunci, Anda dapat menyimpannya ke berkas (mengidentifikasi dengan sidik jari di sini):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Perintah ini menghasilkan kunci yang disimpan ke berkas yang ditemukan di jalur ./tor.keyring, yaitu di direktori saat ini. Jika ./tor.keyring tidak ada setelah menjalankan perintah ini, ada yang salah dan Anda tidak dapat melanjutkan sampai Anda mengetahui mengapa ini tidak berhasil.

Memverifikasi tanda tangan

Untuk memverifikasi tanda tangan paket yang Anda unduh, Anda perlu mengunduh berkas tanda tangan ".asc" yang sesuai serta berkas pemasang itu sendiri, dan memverifikasinya dengan perintah yang meminta GnuPG untuk memverifikasi berkas yang Anda unduh.

Contoh di bawah ini mengasumsikan bahwa Anda mengunduh dua berkas ini ke folder "Unduhan". Note that these commands use example file names and yours will be different: you will need to replace the example file names with exact names of the files you have downloaded.

Untuk pengguna GNU/Linux (ubah x86_64 menjadi i686 jika Anda memiliki paket 32-bit):

gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe

Untuk pengguna macOS:

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg

Untuk pengguna GNU/Linux (ubah x86_64 menjadi i686 jika Anda memiliki paket 32-bit):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz

The result of the command should contain:

gpgv: Good signature from "Tor Browser Developers (signing key) <[email protected]>"

Jika Anda mendapatkan galat kesalahan yang berisi 'Tidak ada berkas atau direktori seperti itu', kemungkian ada yang salah dengan salah satu langkah sebelumnya, atau Anda lupa bahwa perintah ini menggunakan contoh nama berkas dan milik Anda akan sedikit berbeda.

Refreshing the PGP key

Run the following command to refresh the Tor Browser Developers signing key in your local keyring from the keyserver. This will also fetch the new subkeys.

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Workaround (menggunakan kunci publik)

Jika Anda menemukan kesalahan yang tidak dapat Anda perbaiki, silakan unduh dan gunakan kunci publik ini sebagai gantinya. Atau, Anda dapat menggunakan perintah berikut:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Kunci Tor Browser Developer juga tersedia di keys.openpgp.org dan dapat diunduh melalui https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Jika Anda menggunakan MacOS atau GNU/Linux, kuncinya juga dapat diambil dengan menjalankan perintah berikut:

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Anda mungkin juga ingin mempelajari lebih lanjut tentang GnuPG.