Цифровий підпис — це процес, який гарантує, що певний пакунок створено його розробниками та не було підроблено.
Нижче ми пояснюємо, чому це важливо та як переконатися, що Tor Browser, який ви завантажуєте, створений нами й не був змінений якимось зловмисником.
Кожен файл на нашій сторінці завантаження супроводжується файлом з міткою «підпис» з такою ж назвою, що і пакет, і розширенням «.asc». Ці файли .asc є підписами OpenPGP.
Вони дозволяють підтвердити, що завантажений файл — саме той, який ми вам відправили.
Це залежить від вебпереглядача, але зазвичай ви можете завантажити цей файл, клацнувши правою кнопкою миші на посилання «підпис» і обрати опцію «зберегти файл як».
Наприклад, tor-browser-windows-x86_64-portable-13.0.1.exe
супроводжується tor-browser-windows-x86_64-portable-13.0.1.exe.asc
.
Це приклади назв файлів, які не будуть точно відповідати іменам файлів, які ви завантажуєте.
Тепер ми покажемо, як можна перевірити цифровий підпис завантаженого файлу в різних операційних системах.
Зверніть увагу, що підпис датується моментом підписання пакунку.
Тому щоразу, коли ми завантажуємо новий файл, створюється новий підпис з іншою датою.
Якщо ви перевірили підпис, вам не слід турбуватися про те, що показана дата може відрізнятися.
Встановлення GnuPG
Перш за все, вам потрібно встановити GnuPG, перш ніж ви зможете перевірити підписи.
Для користувачів Windows:
Якщо у вас Windows, завантажте Gpg4win і запустіть встановлювач.
Щоб перевірити підпис, вам потрібно буде ввести кілька команд у командному рядку Windows cmd.exe
.
Для користувачів macOS:
Якщо ви використовуєте macOS, ви можете встановити GPGTools.
Щоб перевірити підпис, вам потрібно буде ввести кілька команд у терміналі (у розділі «Програми»).
Для користувачів GNU/Linux:
Якщо ви використовуєте GNU/Linux, то, ймовірно, у вас уже є GnuPG у вашій системі, оскільки більшість дистрибутивів GNU/Linux поставляються з попередньо встановленим GnuPG.
Щоб перевірити підпис, потрібно буде ввести кілька команд у вікні терміналу. Як це зробити залежить від вашого дистрибутиву.
Отримання ключа розробників Tor
Команда Tor Browser підписує релізи Tor Browser.
Імпортуйте ключ підпису розробників Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys [email protected]
Це має показати вам щось на кшталт:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <[email protected]>
ПРИМІТКА. Ваш результат може дещо відрізнятися від наведеного вище (наприклад, терміни придатності), однак ви повинні побачити імпортований ключ правильно.
Якщо ви отримаєте повідомлення про помилку, то щось пішло не так, і ви не можете продовжувати, допоки не з'ясуєте, чому виникла ця помилка. Можливо, ви зможете імпортувати ключ, використовуючи розділ Обхідне рішення (використання відкритого ключа).
Після імпортування ключа ви можете зберегти його у файл (ідентифікуючи його за його відбитком тут):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Ця команда призводить до того, що ключ зберігається у файлі, що знаходиться за шляхом ./tor.keyring
, тобто у поточному каталозі.
Якщо після виконання цієї команди ./tor.keyring
не з'являється, то щось пішло не так, і ви не можете продовжувати, поки не з'ясуєте у чому помилка.
Перевірка підпису
Щоб перевірити підпис пакунку, вам потрібно завантажити відповідний файл підпису «.asc», а також сам файл встановлювача та перевірити його за допомогою команди до GnuPG щодо перевірки завантаженого файлу.
Наведені нижче приклади припускають, що ви завантажили ці два файли до папки Завантаження.
Зауважте, що ці команди використовують приклади імен файлів, а ваша буде іншою: вам потрібно буде замінити приклади імен файлів точними назвами файлів, які ви завантажили.
Для користувачів Windows (змініть x86_64 на i686, якщо у вас є 32-розрядний пакунок):
gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe
Для користувачів macOS:
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg
Для користувачів GNU/Linux (змініть x86_64 на i686, якщо у вас є 32-розрядний пакунок):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz
Результат виконання команди повинен містити:
gpgv: Good signature from "Tor Browser Developers (signing key) <[email protected]>"
Якщо ви отримуєте повідомлення про помилку, що містять «Немає такого файлу чи каталогу», це означає, що щось пішло не так з одним із попередніх кроків, або ви забули, що ці команди використовують приклади імен файлів, а ваші будуть дещо відрізнятися.
Оновлення ключа PGP
Виконайте таку команду, щоб оновити ключ підпису Tor Browser Developers у вашому локальному зв’язку ключів із сервера ключів. Це також призведе до отримання нових підключів.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Обхідний шлях (з використанням відкритого ключа)
Якщо ви зіткнулися з помилками, які не можете виправити, то можете завантажити та використовувати цей відкритий ключ. Крім того, ви можете використовувати наступну команду:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Ключ розробника Tor Browser також доступний на keys.openpgp.org і його можна завантажити з https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290.
Якщо ви використовуєте MacOS або GNU/Linux, ключ також можна отримати, виконавши таку команду:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Ви також можете дізнатися більше про GnuPG.