Chữ ký điện tử là một quá trình bảo đảm rằng một gói package nhất định đã được khởi tạo bởi chính các nhà phát triển nó và chưa bị can thiệp, động chạm vào. Dưới đây chúng tôi giải thích tại sao nó quan trọng và làm thế nào để xác minh rằng trình duyệt Tor Browser mà bạn tải xuống đúng chính là cái mà chúng tôi đã tạo ra và không bị chỉnh sửa bởi một số kẻ tấn công.

Mỗi một tập tin trên trang tải xuống của chúng tôi được theo sau bởi một tập tin được đính nhãn label chữ ký "signature" với cùng một tên như gói package và đuôi định dạng tập tin ".asc". Các tập tin .asc này là các chữ ký OpenPGP. Chúng cho phép bạn xác minh tập tin mà bạn đã tải xuống chính xác đúng là thứ mà chúng tôi dự định để bạn lấy về. Điều này sẽ thay đổi theo các loại trình duyệt web, nhưng tổng quan mà nói thì bạn có thể tải xuống tập tin này bằng cách nhấp chuột phải vào đường dẫn link chữ ký "signature" và lựa chọn "sao lưu tập tin như".

For example, tor-browser-windows-x86_64-portable-13.0.1.exe is accompanied by tor-browser-windows-x86_64-portable-13.0.1.exe.asc. Đây là các tên tập tin ví dụ và sẽ không hoàn toàn trùng khớp với các tên tập tin mà bạn tải xuống.

Hiện tại, chúng tôi cho bạn thấy, làm thế nào để bạn có thể xác minh chữ ký điện tử của tập tin đã được tải xuống trên các hệ điều hành khác nhau. Xin hãy lưu ý rằng, một chữ ký sẽ được định ngày tháng vào thời điểm mà gói package được ký. Do đó, mỗi lần một tập tin mới được tải lên, một chữ ký mới sẽ được tạo ra với một ngày tháng khác biệt. Miễn là bạn đã xác minh chữ ký rồi, bạn không cần phải lo lắng rằng, ngày báo cáo có thể thay đổi.

Việc cài đặt GnuPG

Đầu tiên trước hết, bạn cần phải có GnuPG đã được cài đặt trước khi bạn có thể xác minh các chữ ký.

Cho người dùng Windows:

Nếu bạn chạy Windows, tải xuống Gpg4win và chạy trình cài đặt installer của nó.

Để xác minh chữ ký, bạn sẽ cần phải gõ nhập vào một số các lệnh command trong command-line của Windows, cmd.exe.

Cho người dùng macOS:

Nếu bạn đang sử dụng macOS, bạn có thể cài đặt GPGTools.

Để xác minh chữ ký, bạn sẽ cần phải gõ nhập vào một số lệnh command trong Terminal (dưới mục "Applications" (Các ứng dụng).

Cho người dùng GNU/Linux:

Nếu bạn đang sử dụng GNU/Linux, thì bạn có lẽ đã có GnuPG trong hệ thống của bạn rồi, bởi hầu hết các bản phân phối GNU/Linux kèm theo nó đã được cài đặt trước.

Để xác minh chữ ký, bạn sẽ phải gõ nhập vào một số lệnh command trong một cửa sổ terminal. Làm thế nào để thực hiện điều này sẽ có các cách thức khác nhau phụ thuộc vào bản phân phối của bạn.

Tìm nạp (fetch) khoá key Các nhà phát triển Tor

Đội ngũ team Tor Browser ký cho các bản phát hành trình duyệt Tor Browser. Truy nhập Khoá key chữ ký Các nhà phát triển Trình duyệt Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Điều này sẽ hiển thị cho bạn thứ trông như:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" đã được truy nhập
gpg: Tổng số lượng đã xử lý: 1
gpg:               imported: 1
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ không xác định] Nhà phát triển Tor Browser (khoá key chữ ký) <torbrowser@torproject.org>

NOTE: Your output may deviate somewhat from the above (eg. expiration dates), however you should see the key correctly imported.

Nếu như bạn nhận một thông báo lỗi, có điều gì đó sai sót đã xảy ra và bạn không thể tiếp tục cho tới khi bạn tìm hiểu được lý do tại sao điều này không hoạt động. Thay vào đó bạn có thể thực hiện truy nhập khoá key bằng cách sử dụng mục Cách giải quyết (sử dụng một khoá key công cộng).

Sau khi truy nhập khoá key, bạn có thể sao lưu nó vào một tập tin (định danh nó bằng dấu vết vân tay fingerprint của nó tại đây):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Lệnh command này làm cho khoá key được sao lưu vào một tập tin mà có thể được tìm thấy tại đường dẫn path ./tor.keyring, ví dụ như trong thư mục hiện tại. Nếu như ./tor.keyring không tồn tại sau khi chạy lệnh command này, có điều gì đó đã sai sót và bạn không thể tiếp tục cho tới khi bạn đã tìm hiểu ra tại sao điều này không hoạt động.

Việc xác minh chữ ký

Để xác minh chữ ký của gói package mà bạn đã tải xuống, bạn sẽ cần phải tải xuống tập tin chữ ký ".asc" tương ứng cũng như tập tin bộ cài đặt installer chính nó, và xác minh nó với một lệnh command để hỏi yêu cầu GnuPG thực hiện xác minh tập tin mà bạn đã tải xuống.

Các ví dụ bên dưới giả định rằng, bạn đã tải xuống cả hai tập tin này vào thư mục "Downloads" (Tải xuống) của bạn. Note that these commands use example file names and yours will be different: you will need to replace the example file names with exact names of the files you have downloaded.

For Windows users (change x86_64 to i686 if you have the 32-bit package):

gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe

Cho người dùng macOS:

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg

For GNU/Linux users (change x86_64 to i686 if you have the 32-bit package):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz

Kết quả của lệnh command phải chứa đựng:

gpgv: Chữ ký tốt tới từ "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

Nếu bạn nhận được các thông báo lỗi có chứa 'No such file or directory' (Không có tập tin hoặc thư mục nào như vậy), vậy thì hoặc có điều gì đó sai sót với một trong các bước trước, hoặc bạn đã quên rằng các lệnh command này sử dụng các tên tập tin ví dụ và các tập tin của bạn có tên khác một chút.

Làm mới khóa key PGP

Chạy lệnh command sau đây để làm mới lại khóa chữ ký signing key của các Nhà lập trình phát triển Trình duyệt Tor Browser trong chuỗi khóa cục bộ local keyring của bạn từ máy chủ khóa keyserver. Điều này cũng sẽ fetch tìm nạp các khóa con subkey mới.

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Cách giải quyết (sử dụng một khóa key công khai)

Nếu bạn gặp phải các lỗi mà bạn không thể sửa chữa, thay vào đó xin hãy cứ tự nhiên tải xuống và sử dụng khoá key công cộng này. Ngoài ra, bạn có thể sử dụng lệnh command sau:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Khoá key các nhà phát triển trình duyệt Tor Browser cũng đồng thời khả dụng trên keys.openpgp.org và có thể được tải xuống từ https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Nếu bạn đang sử dụng MacOS hoặc GNU/Linux, khoá key cũng có thể được tìm nạp bằng cách chạy lệnh command sau đây:

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Bạn có thể cũng muốn được tìm hiểu thêm về GnuPG.