Digital signature ni mfumo unaohakikisha kua kifurushi fulani kilitolewa na watengenezaji na haikuharibiwa. Chini tunaelezea kwa nini ni muhimu na jinsi ya kuhakiki kuwa Tor Browser ulopakua ndio ile tulichotengeneza sisi na hakijabadilishwa na mtu anayeshambulia.

Kila faili katika ukurasa wetu wa kupakuainakuja na faili iliyo na lebo "saini" yenye jina sawa na kifurushi na kiambishi ".asc". Faili hizi zipo wazi na saini ya OpenPGP. Itakuruhusu kuthibitisha faili ulilo sasisha ambalo hasa tulilikusudia upate. Hii itatofuatiana kutokana na kivinjari, lakini kwa ujumla unaweza kupakua faili hili kwa kubofya kitufe cha kulia katika sehemu ya "signature"na kwa kuchagua chaguo la "save file as".

For example, torbrowser-install-win64-12.5_ALL.exe is accompanied by torbrowser-install-win64-12.5_ALL.exe.asc. Kuna mfano jina la faili halifanani kabisa na jina la faili ulilopakua.

Kwa sasa tunaonesha ni kwa jinsi gani unaweza kuthibitisha faili lililopakuliwa kwa digital signature katika mifumo mbalimbali ya uendeshaji. Tafadhali kumbuka kuwa sahihi ni tarehe wakati kifurushi kimetiwa sahihi. Kwa ujumla kila muda faili jipya linapakuliwa kwa sahihi mpya inayotokana na tarehe tofauti. Ilimradi umeshathibitisha sahihi hupaswi kujali kuwa tarehe iliyoripotiwa inaweza kutofautiana.

pakua GnuPG

Awali ya yote unahitaji kuwa na GnuPG iliyosanidiwa kabla haujathibitisha sahihi.

Kwa watumiaji wa Windows:

Ikiwa unatumia windowa, pakua Gpg4win na endesha kisanikishi chake.

Ili kuthibitisha sahihi unahitaji kuandika commands chache katika mstari wa command wa window, cmd.exe.

Kwa watumiaji wa macOS:

Ikiwa unatumia macOS, unaweza sanikisha GPGTools.

Ili kuthibitisha sahihi unahitaji kuandika command chache katika Terminal (under "Applications").

Kwa watumiaji wa GNU/Linux:

Ikiwa unatumia GNU/Linux, labda tayari unayo GnuPG katika mfumo wako, kwa kuwa usambazaji mwingi wa GNU/Linux huja ikiwa imewekwa tayari.

Ili kuthibitisha saini, utahitaji kuingiza maagizo machache kwenye kompyuta. Jinsi ya kufanya hivyo itatofautiana kulingana na usambazaji wako.

kutafuta Tor kwa funguo ya watengenezaji

Timu ya Tor Browser imesaini Tor Browser ilioachiwa. Ingiza Tor Browser kwa watengeneza programu kusaini funguo (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Hii inatakiwa kukuonyesha kitu fulani kama vile:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Jumla ya number ya zilizoshughulikiwa: 1
gpg:               imported: 1
pub   rsa4096 2014-12-15 [C] [expires: 2025-07-21]
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub   rsa4096 2018-05-26 [S] [expires: 2020-12-19]

Ikiwa utapata ujumbe wa kosa, kitu kimeenda vibaya na huwezi kuendelea mpaka utambue kwa nini hii haikufanya kazi. Huenda ukaweza kuagiza ufunguo kwa kutumia sehemu ya Kuzunguka tatizo (kwa kutumia ufunguo wa umma) badala yake.

Baada ya kuingiza funguo, unapaswa kuzitunza katika faili (kiutambua kwa fingerprint hapa):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Matokeo ya amri ni muhimu kuhifadhiwa katika faili lililopatikana ./tor.keyring, mfano katika muongozo wa sasa. Kama ./or.keyring haipo baada ya kutumia command hii, kuna kitu kina makosa na huwezi kuendelea hadi uwe umetatua kwanini hichi hakifanyi kazi.

hakiki saini

Kuhakiki saini ya kifurushi ulichopakua, utahitaji kupakua saini ya ".asc" inayohusiana nayo pamoja na faili la kusakinisha lenyewe, na uihakiki kitufe kinachotaka GnuPG kuhakiki faili lililopakuliwa.

Mifano hapa chini inadhani kuwa ulipakua mafaili haya mawili kwenye folda lako la "Downloads". Kumbuka kuwa hizi commands tumia mfano wa majina ya faili na yako tofauti: unaweza kupakua toleo tofauti zaidi ya 9.0 na unaweza kuchagua toleo la kiingereza (en-US).

Kwa watumiaji wa Windows:

gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-12.5_ALL.exe.asc Downloads\torbrowser-install-win64-12.5_ALL.exe

Kwa watumiaji wa macOS:

gpgv --keyring ./tor.keyring ~/Downloads/TorBrowser-12.5-macos_ALL.dmg.asc ~/Downloads/TorBrowser-12.5-macos_ALL.dmg.dmg

Kwa watumiaji wa GNU/Linux (badili 64 kwa 32 kama una vifurushi 32):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-12.5_ALL.tar.xz.asc ~/Downloads/tor-browser-linux64-12.0.7_ALL.tar.xz

The result of the command should contain:

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

Ikiwa unapata ujumbe wenye makosa zenye "No such file or directory', labda kuna kitu hakipo sawa katika hatua mojawapo zilizopita, au umesahau kuwa hizi command unazotumia kwa mfano majina ya file na yako yatakuwa na utofauti kidogo.

Refreshing the PGP key

Run the following command to refresh the Tor Browser Developers signing key in your local keyring from the keyserver. This will also fetch the new subkeys.

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Njia mbadala kwa kutumia (funguo ya umma)

Kama unakutana na makosa unaweza rekebisha, kuwa huru kupakua na kutumia funguo ya umma badala. njia mbadala unaweza kutumia njia zifuatazo:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Mtengenezaji wa alama maalum za utambuzi za Tor Browser pia anapatikana katikakeys.openpgp.org na kuiweza kupakuliowa kutoka https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Ikiwa unatumia MacOS au GNU/Linux, ufunguo unaweza kupatikana kwa kutumia njia ifuatayo:

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

unaweza pia kuhitaji kujifunza zaidi kuhusu GnuPG.