Цифровий підпис — це процес, який гарантує, що певний пакунок створено його розробниками та не було підроблено. Нижче ми пояснюємо, чому це важливо та як переконатися, що Tor Browser, який ви завантажуєте, створений нами й не був змінений якимось зловмисником.

Кожен файл на нашій сторінці завантаження супроводжується файлом з міткою «підпис» з такою ж назвою, що і пакет, і розширенням «.asc». Ці файли .asc є підписами OpenPGP. Вони дозволяють підтвердити, що завантажений файл — саме той, який ми вам відправили. Це залежить від вебпереглядача, але зазвичай ви можете завантажити цей файл, клацнувши правою кнопкою миші на посилання «підпис» і обрати опцію «зберегти файл як».

Наприклад, tor-browser-windows-x86_64-portable-13.0.1.exe супроводжується tor-browser-windows-x86_64-portable-13.0.1.exe.asc. Це приклади назв файлів, які не будуть точно відповідати іменам файлів, які ви завантажуєте.

Тепер ми покажемо, як можна перевірити цифровий підпис завантаженого файлу в різних операційних системах. Зверніть увагу, що підпис датується моментом підписання пакунку. Тому щоразу, коли ми завантажуємо новий файл, створюється новий підпис з іншою датою. Якщо ви перевірили підпис, вам не слід турбуватися про те, що показана дата може відрізнятися.

Встановлення GnuPG

Перш за все, вам потрібно встановити GnuPG, перш ніж ви зможете перевірити підписи.

Для користувачів Windows:

Якщо у вас Windows, завантажте Gpg4win і запустіть встановлювач.

Щоб перевірити підпис, вам потрібно буде ввести кілька команд у командному рядку Windows cmd.exe.

Для користувачів macOS:

Якщо ви використовуєте macOS, ви можете встановити GPGTools.

Щоб перевірити підпис, вам потрібно буде ввести кілька команд у терміналі (у розділі «Програми»).

Для користувачів GNU/Linux:

Якщо ви використовуєте GNU/Linux, то, ймовірно, у вас уже є GnuPG у вашій системі, оскільки більшість дистрибутивів GNU/Linux поставляються з попередньо встановленим GnuPG.

Щоб перевірити підпис, потрібно буде ввести кілька команд у вікні терміналу. Як це зробити залежить від вашого дистрибутиву.

Отримання ключа розробників Tor

Команда Tor Browser підписує релізи Tor Browser. Імпортуйте ключ підпису розробників Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Це має показати вам щось на кшталт:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>

NOTE: Your output may deviate somewhat from the above (eg. expiration dates), however you should see the key correctly imported.

Якщо ви отримаєте повідомлення про помилку, то щось пішло не так, і ви не можете продовжувати, допоки не з'ясуєте, чому виникла ця помилка. Можливо, ви зможете імпортувати ключ, використовуючи розділ Обхідне рішення (використання відкритого ключа).

Після імпортування ключа ви можете зберегти його у файл (ідентифікуючи його за його відбитком тут):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Ця команда призводить до того, що ключ зберігається у файлі, що знаходиться за шляхом ./tor.keyring, тобто у поточному каталозі. Якщо після виконання цієї команди ./tor.keyring не з'являється, то щось пішло не так, і ви не можете продовжувати, поки не з'ясуєте у чому помилка.

Перевірка підпису

Щоб перевірити підпис пакунку, вам потрібно завантажити відповідний файл підпису «.asc», а також сам файл встановлювача та перевірити його за допомогою команди до GnuPG щодо перевірки завантаженого файлу.

Наведені нижче приклади припускають, що ви завантажили ці два файли до папки Завантаження. Note that these commands use example file names and yours will be different: you will need to replace the example file names with exact names of the files you have downloaded.

Для користувачів Windows (змініть x86_64 на i686, якщо у вас є 32-розрядний пакунок):

gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe

Для користувачів macOS:

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg

Для користувачів GNU/Linux (змініть x86_64 на i686, якщо у вас є 32-розрядний пакунок):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz

The result of the command should contain:

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

Якщо ви отримуєте повідомлення про помилку, що містять «Немає такого файлу чи каталогу», це означає, що щось пішло не так з одним із попередніх кроків, або ви забули, що ці команди використовують приклади імен файлів, а ваші будуть дещо відрізнятися.

Refreshing the PGP key

Run the following command to refresh the Tor Browser Developers signing key in your local keyring from the keyserver. This will also fetch the new subkeys.

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Обхідний шлях (з використанням відкритого ключа)

Якщо ви зіткнулися з помилками, які не можете виправити, то можете завантажити та використовувати цей відкритий ключ. Крім того, ви можете використовувати наступну команду:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Ключ розробника Tor Browser також доступний на keys.openpgp.org і його можна завантажити з https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Якщо ви використовуєте MacOS або GNU/Linux, ключ також можна отримати, виконавши таку команду:

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Ви також можете дізнатися більше про GnuPG.