Digital signature ni mfumo unaohakikisha kua kifurushi fulani kilitolewa na watengenezaji na haikuharibiwa. Chini tunaelezea kwa nini ni muhimu na jinsi ya kuhakiki kuwa Tor Browser ulopakua ndio ile tulichotengeneza sisi na hakijabadilishwa na mtu anayeshambulia.

Kila faili katika ukurasa wetu wa kupakuainakuja na faili iliyo na lebo "saini" yenye jina sawa na kifurushi na kiambishi ".asc". Faili hizi zipo wazi na saini ya OpenPGP. Itakuruhusu kuthibitisha faili ulilo sasisha ambalo hasa tulilikusudia upate. Hii itatofuatiana kutokana na kivinjari, lakini kwa ujumla unaweza kupakua faili hili kwa kubofya kitufe cha kulia katika sehemu ya "signature"na kwa kuchagua chaguo la "save file as".

Kwa mfano, tor-browser-windows-x86_64-portable-13.0.1.exeinaambatanwa na tor-browser-windows-x86_64-portable-13.0.1.exe.asc. Kuna mfano jina la faili halifanani kabisa na jina la faili ulilopakua.

Kwa sasa tunaonesha ni kwa jinsi gani unaweza kuthibitisha faili lililopakuliwa kwa digital signature katika mifumo mbalimbali ya uendeshaji. Tafadhali kumbuka kuwa sahihi ni tarehe wakati kifurushi kimetiwa sahihi. Kwa ujumla kila muda faili jipya linapakuliwa kwa sahihi mpya inayotokana na tarehe tofauti. Ilimradi umeshathibitisha sahihi hupaswi kujali kuwa tarehe iliyoripotiwa inaweza kutofautiana.

pakua GnuPG

Awali ya yote unahitaji kuwa na GnuPG iliyosanidiwa kabla haujathibitisha sahihi.

Kwa watumiaji wa Windows:

Ikiwa unatumia windowa, pakua Gpg4win na endesha kisanikishi chake.

Ili kuthibitisha sahihi unahitaji kuandika commands chache katika mstari wa command wa window, cmd.exe.

Kwa watumiaji wa macOS:

Ikiwa unatumia macOS, unaweza sanikisha GPGTools.

Ili kuthibitisha sahihi unahitaji kuandika command chache katika Terminal (under "Applications").

Kwa watumiaji wa GNU/Linux:

Ikiwa unatumia GNU/Linux, labda tayari unayo GnuPG katika mfumo wako, kwa kuwa usambazaji mwingi wa GNU/Linux huja ikiwa imewekwa tayari.

Ili kuthibitisha saini, utahitaji kuingiza maagizo machache kwenye kompyuta. Jinsi ya kufanya hivyo itatofautiana kulingana na usambazaji wako.

kutafuta Tor kwa funguo ya watengenezaji

Timu ya Tor Browser imesaini Tor Browser ilioachiwa. Ingiza Tor Browser kwa watengeneza programu kusaini funguo (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys [email protected]

Hii inatakiwa kukuonyesha kitu fulani kama vile:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: Jumla ya number ya zilizoshughulikiwa: 1
gpg:               imported: 1
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <[email protected]>

NOTE: Your output may deviate somewhat from the above (eg. expiration dates), however you should see the key correctly imported.

Ikiwa utapata ujumbe wa kosa, kitu kimeenda vibaya na huwezi kuendelea mpaka utambue kwa nini hii haikufanya kazi. Huenda ukaweza kuagiza ufunguo kwa kutumia sehemu ya Kuzunguka tatizo (kwa kutumia ufunguo wa umma) badala yake.

Baada ya kuingiza funguo, unapaswa kuzitunza katika faili (kiutambua kwa fingerprint hapa):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Matokeo ya amri ni muhimu kuhifadhiwa katika faili lililopatikana ./tor.keyring, mfano katika muongozo wa sasa. Kama ./or.keyring haipo baada ya kutumia command hii, kuna kitu kina makosa na huwezi kuendelea hadi uwe umetatua kwanini hichi hakifanyi kazi.

hakiki saini

Kuhakiki saini ya kifurushi ulichopakua, utahitaji kupakua saini ya ".asc" inayohusiana nayo pamoja na faili la kusakinisha lenyewe, na uihakiki kitufe kinachotaka GnuPG kuhakiki faili lililopakuliwa.

Mifano hapa chini inadhani kuwa ulipakua mafaili haya mawili kwenye folda lako la "Downloads". Kumbuka kuwa hizi amri hutumia mfano wa majina ya faili na yako itakuwa tofauti: unaweza kuhitaji kubadilisha majina ya faili za mfano na majina kamili ya faili ambazo umepakua.

Kwa watumiaji wa Windows(badili x86_64 hadi i686 ikiwa una vifurushi 32-bit):

gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe

Kwa watumiaji wa macOS:

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg

Kwa watumiaji wa GNU/Linux (badili 6x86_64 hadi i686 ikiwa una vifurushi 32-bit):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz

Matokeo ya amri inapaswa kuwa ina:

gpgv: Good signature from "Tor Browser Developers (signing key) <[email protected]>"

Ikiwa unapata ujumbe wenye makosa zenye "No such file or directory', labda kuna kitu hakipo sawa katika hatua mojawapo zilizopita, au umesahau kuwa hizi command unazotumia kwa mfano majina ya file na yako yatakuwa na utofauti kidogo.

Inaonyesha upya kifunguo cha PGP

Endesha amri ifuatayo ili kuonyesha upya ufunguo wa kutia sahihi wa Wasanidi wa Kivinjari cha Tor katika uwekaji wa keyring kutoka kwa keyserver. Hii pia itachukua subkey mpya.

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Njia mbadala kwa kutumia (funguo ya umma)

Kama unakutana na makosa unaweza rekebisha, kuwa huru kupakua na kutumia funguo ya umma badala. njia mbadala unaweza kutumia njia zifuatazo:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Mtengenezaji wa alama maalum za utambuzi za Tor Browser pia anapatikana katikakeys.openpgp.org na kuiweza kupakuliowa kutoka https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Ikiwa unatumia MacOS au GNU/Linux, ufunguo unaweza kupatikana kwa kutumia njia ifuatayo:

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

unaweza pia kuhitaji kujifunza zaidi kuhusu GnuPG.