Tahadhari: Maelekezo haya ya kuthibitisha chanzo cha msimbo wa Tor.
Tafadhali fuata maelekezo sahihi ili kuthibitisha Tor Browser's signature.
Digital signature ni mfumo unaohakikisha kua kifurushi fulani kilitolewa na watengenezaji na haikuharibiwa.
Chini tumeeleza kwanini ni muhimu na jinsi ya kuthibitisha vyanzo vya msimbo wa tor uliyoipakua ni mojawapo tuliyoitengeneza na haijaboreshwa na baadhi ya washambuliaji.
Kila failia katika kurasa yetu iliyopakuliwa inaambatana na mafaili mawili ambayo yamewekwan leno "checksum" na "sig" yakiwa na majina sawa kama kifurushi na kiambatanishi .sha256sum" na ".sha256sum.asc" kwa mtiririko huo.
Faili la .asc
litathibitisha kuwa faili .sha256sum
(limekusanya kifurushi cha checksum) haijaingiliwa. Mara tu sahihi inapothibitisha (angalia chini jinsi ya kufanya), kifurushi cha uadilifu kitaweza kuthibitishwa:
$ sha256sum -c *.sha256sum
Faili hili linakuruhusu kuhakikisha faili ulilopakua ndio hilo ulilotarajia kulipata.
Hii inaweza kutofautiana kutokana na kivinjari cha tovuti, lakini kwa kawaida unaweza kupakua faili hili kwa kubofya upande wa kulia wa anwani za "sig" na "checksum" na kuchagua "save file as".
Kwa mfano, tor-0.4.6.7.tar.gz
is accompanied by tor-0.4.6.7.tar.gz.sha256sum.asc
.
Kuna mfano jina la faili halifanani kabisa na jina la faili ulilopakua.
Kwa sasa tunaonesha ni kwa jinsi gani unaweza kuthibitisha faili lililopakuliwa kwa digital signature katika mifumo mbalimbali ya uendeshaji.
Tafadhali kumbuka kuwa sahihi ni tarehe wakati kifurushi kimetiwa sahihi.
Kwa ujumla kila muda faili jipya linapakuliwa kwa sahihi mpya inayotokana na tarehe tofauti.
Ilimradi umeshathibitisha sahihi hupaswi kujali kuwa tarehe iliyoripotiwa inaweza kutofautiana.
pakua GnuPG
Awali ya yote unahitaji kuwa na GnuPG iliyosanidiwa kabla haujathibitisha sahihi.
Kwa watumiaji wa Windows:
Ikiwa unatumia windowa, pakua Gpg4win na endesha kisanikishi chake.
Ili kuthibitisha sahihi unahitaji kuandika commands chache katika mstari wa command wa window, cmd.exe
.
Kwa watumiaji wa macOS:
Ikiwa unatumia macOS, unaweza sanikisha GPGTools.
Ili kuthibitisha sahihi unahitaji kuandika command chache katika Terminal (under "Applications").
Kwa watumiaji wa GNU/Linux:
Ikiwa unatumia GNU/Linux, labda tayari unayo GnuPG katika mfumo wako, kwa kuwa usambazaji mwingi wa GNU/Linux huja ikiwa imewekwa tayari.
Ili kuthibitisha sahihi utahitaji kuandika commands chache katika terminal window.
Jinsi ya kufanya hivi hutofautiana kulinganana usambazaji wako.
kutafuta Tor kwa funguo ya watengenezaji
Funguo zifuatazo zinaweza kuweka sahihi katika tarball. Usizitarajie kabisa, zinaweza kutofautiana kutegemeana na nani anapatikana ili ziweze kutolewa.
Unaweza kutafura funguo yenye anwani uliyopewa hapo juu au ndani yake:
$ gpg --auto-key-locate nodefault,wkd --locate-keys [email protected]
$ gpg --auto-key-locate nodefault,wkd --locate-keys [email protected]
$ gpg --auto-key-locate nodefault,wkd --locate-keys [email protected]
Hii inapaswa kukuonesha kitu kama (for nickm):
gpg: key FE43009C4607B1FB: public key "Nick Mathewson <[email protected]>" imported
gpg: Jumla ya number ya zilizoshughulikiwa: 1
gpg: imported: 1
pub rsa4096 2016-09-21 [C] [expires: 2025-10-04]
2133BC600AB133E1D826D173FE43009C4607B1FB
uid [ unknown] Nick Mathewson <[email protected]>
sub rsa4096 2016-09-23 [S] [expires: 2025-10-04]
sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]
Ukipata ujumbe wenye makosa, kuna kitu kimeenda vibaya na huwezi kuendelea hadi utambue kwanini haifanyi kazi.
Unaweza kuweza kuagiza funguo kwa kutumia sehemu ya Njia mbadala (kutumia alama za wazi) badala yake.
Baada ya kuingiza funguo, unapaswa kuzitunza katika faili (kiutambua kwa fingerprint hapa):
$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB
Matokeo ya amri ni muhimu kuhifadhiwa katika faili lililopatikana ./tor.keyring
, mfano katika muongozo wa sasa.
Kama ./or.keyring
haipo baada ya kutumia command hii, kuna kitu kina makosa na huwezi kuendelea hadi uwe umetatua kwanini hichi hakifanyi kazi.
hakiki saini
Kuthibitisha sahihi ya kifurushi ulichopakua, utahitaji kupakua faili lenyewe sambamba na .sha256sum.asc
signature file and the .sha256sum
, na kuthibitisha hii kwa command inayouliza GnuPG ili kuthibitisha faili ulilolipakua.
Mifano hapa chini inadhani kuwa ulipakua mafaili haya mawili kwenye folda lako la "Downloads".
Kumbuka kuwa hizi commands tumia mfano wa majina ya faili na yako tofauti: unaweza kupakua toleo tofauti zaidi ya 9.0 na unaweza kuchagua toleo la kiingereza (en-US).
Kwa watumiaji wa Windows:
gpgv --keyring .\tor.keyring Downloads\tor-0.4.6.10.tar.gz.sha256sum.asc Downloads\tor-0.4.6.10.tar.gz.sha256sum
Kwa watumiaji wa macOS:
gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum
Kwa watumiaji wa BSD/Linux:
gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum
Matokeo ya command yanapaswa kutoa kitu kama hichi (Kutegemeana na funguo ipi imesainiwa):
gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03
gpgv: using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601
gpgv: Good signature from "Nick Mathewson <[email protected]>"
Ikiwa unapata ujumbe wenye makosa zenye "No such file or directory', labda kuna kitu hakipo sawa katika hatua mojawapo zilizopita, au umesahau kuwa hizi command unazotumia kwa mfano majina ya file na yako yatakuwa na utofauti kidogo.
unaweza pia kuhitaji kujifunza zaidi kuhusu GnuPG.
Hakiki checksum
Sasa kwa kuwa tulithibitisha sahihi ya checksum, tunahitaji kuthibitisha the ubora/uwezo wa kifurushi.
Kwa watumiaji wa Windows:
certUtil -hashfile tor-0.4.6.10.tar.gz.sha256sum SHA256
Kwa watumiaji wa macOS:
shasum -a 256 tor-0.4.6.10.tar.gz.sha256sum
Kwa watumiaji wa BSD/Linux:
sha256sum -c tor-0.4.6.10.tar.gz.sha256sum