Chữ ký điện tử là một quá trình bảo đảm rằng một gói package nhất định đã được khởi tạo bởi chính các nhà phát triển nó và chưa bị can thiệp, động chạm vào.
Dưới đây chúng tôi giải thích tại sao nó quan trọng và làm thế nào để xác minh rằng trình duyệt Tor Browser mà bạn tải xuống đúng chính là cái mà chúng tôi đã tạo ra và không bị chỉnh sửa bởi một số kẻ tấn công.
Mỗi một tập tin trên trang tải xuống của chúng tôi được theo sau bởi một tập tin được đính nhãn label chữ ký "signature" với cùng một tên như gói package và đuôi định dạng tập tin ".asc". Các tập tin .asc này là các chữ ký OpenPGP.
Chúng cho phép bạn xác minh tập tin mà bạn đã tải xuống chính xác đúng là thứ mà chúng tôi dự định để bạn lấy về.
Điều này sẽ thay đổi theo các loại trình duyệt web, nhưng tổng quan mà nói thì bạn có thể tải xuống tập tin này bằng cách nhấp chuột phải vào đường dẫn link chữ ký "signature" và lựa chọn "sao lưu tập tin như".
Ví dụ: torbrowser-install-win64-12.5_ALL.exe
đi kèm với torbrowser-install-win64-12.5_ALL.exe.asc
.
Đây là các tên tập tin ví dụ và sẽ không hoàn toàn trùng khớp với các tên tập tin mà bạn tải xuống.
Hiện tại, chúng tôi cho bạn thấy, làm thế nào để bạn có thể xác minh chữ ký điện tử của tập tin đã được tải xuống trên các hệ điều hành khác nhau.
Xin hãy lưu ý rằng, một chữ ký sẽ được định ngày tháng vào thời điểm mà gói package được ký.
Do đó, mỗi lần một tập tin mới được tải lên, một chữ ký mới sẽ được tạo ra với một ngày tháng khác biệt.
Miễn là bạn đã xác minh chữ ký rồi, bạn không cần phải lo lắng rằng, ngày báo cáo có thể thay đổi.
Việc cài đặt GnuPG
Đầu tiên trước hết, bạn cần phải có GnuPG đã được cài đặt trước khi bạn có thể xác minh các chữ ký.
Cho người dùng Windows:
Nếu bạn chạy Windows, tải xuống Gpg4win và chạy trình cài đặt installer của nó.
Để xác minh chữ ký, bạn sẽ cần phải gõ nhập vào một số các lệnh command trong command-line của Windows, cmd.exe
.
Cho người dùng macOS:
Nếu bạn đang sử dụng macOS, bạn có thể cài đặt GPGTools.
Để xác minh chữ ký, bạn sẽ cần phải gõ nhập vào một số lệnh command trong Terminal (dưới mục "Applications" (Các ứng dụng).
Cho người dùng GNU/Linux:
Nếu bạn đang sử dụng GNU/Linux, thì bạn có lẽ đã có GnuPG trong hệ thống của bạn rồi, bởi hầu hết các bản phân phối GNU/Linux kèm theo nó đã được cài đặt trước.
Để xác minh chữ ký, bạn sẽ phải gõ nhập vào một số lệnh command trong một cửa sổ terminal. Làm thế nào để thực hiện điều này sẽ có các cách thức khác nhau phụ thuộc vào bản phân phối của bạn.
Tìm nạp (fetch) khoá key Các nhà phát triển Tor
Đội ngũ team Tor Browser ký cho các bản phát hành trình duyệt Tor Browser.
Truy nhập Khoá key chữ ký Các nhà phát triển Trình duyệt Tor Browser (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Điều này sẽ hiển thị cho bạn thứ trông như:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" đã được truy nhập
gpg: Tổng số lượng đã xử lý: 1
gpg: imported: 1
pub rsa4096 2014-12-15 [C] [expires: 2025-07-21]
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ không xác định] Nhà phát triển Tor Browser (khoá key chữ ký) <torbrowser@torproject.org>
sub rsa4096 2018-05-26 [S] [hết hạn: 2020-12-19]
Nếu như bạn nhận một thông báo lỗi, có điều gì đó sai sót đã xảy ra và bạn không thể tiếp tục cho tới khi bạn tìm hiểu được lý do tại sao điều này không hoạt động. Thay vào đó bạn có thể thực hiện truy nhập khoá key bằng cách sử dụng mục Cách giải quyết (sử dụng một khoá key công cộng).
Sau khi truy nhập khoá key, bạn có thể sao lưu nó vào một tập tin (định danh nó bằng dấu vết vân tay fingerprint của nó tại đây):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Lệnh command này làm cho khoá key được sao lưu vào một tập tin mà có thể được tìm thấy tại đường dẫn path ./tor.keyring
, ví dụ như trong thư mục hiện tại.
Nếu như ./tor.keyring
không tồn tại sau khi chạy lệnh command này, có điều gì đó đã sai sót và bạn không thể tiếp tục cho tới khi bạn đã tìm hiểu ra tại sao điều này không hoạt động.
Việc xác minh chữ ký
Để xác minh chữ ký của gói package mà bạn đã tải xuống, bạn sẽ cần phải tải xuống tập tin chữ ký ".asc" tương ứng cũng như tập tin bộ cài đặt installer chính nó, và xác minh nó với một lệnh command để hỏi yêu cầu GnuPG thực hiện xác minh tập tin mà bạn đã tải xuống.
Các ví dụ bên dưới giả định rằng, bạn đã tải xuống cả hai tập tin này vào thư mục "Downloads" (Tải xuống) của bạn.
Hãy lưu ý rằng, các lệnh command này sử dụng các tên tập tin thí dụ và nó sẽ khác với các tên tập tin của bạn: có khi bạn đã tải xuống một phiên bản khác với phiên bản 9.0 và bạn có lẽ đã không chọn phiên bản tiếng Anh (en-US).
Cho người dùng Windows:
gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-12.5_ALL.exe.asc Downloads\torbrowser-install-win64-12.5_ALL.exe
Cho người dùng macOS:
gpgv --keyring ./tor.keyring ~/Downloads/TorBrowser-12.5-macos_ALL.dmg.asc ~/Downloads/TorBrowser-12.5-macos_ALL.dmg.dmg
Cho người dùng GNU/Linux (thay đổi 64 sang 32 nếu như bạn có gói package 32-bit):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-12.5_ALL.tar.xz.asc ~/Downloads/tor-browser-linux64-12.0.7_ALL.tar.xz
Kết quả của lệnh command phải chứa đựng:
gpgv: Chữ ký tốt tới từ "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Nếu bạn nhận được các thông báo lỗi có chứa 'No such file or directory' (Không có tập tin hoặc thư mục nào như vậy), vậy thì hoặc có điều gì đó sai sót với một trong các bước trước, hoặc bạn đã quên rằng các lệnh command này sử dụng các tên tập tin ví dụ và các tập tin của bạn có tên khác một chút.
Làm mới khóa key PGP
Chạy lệnh command sau đây để làm mới lại khóa chữ ký signing key của các Nhà lập trình phát triển Trình duyệt Tor Browser trong chuỗi khóa cục bộ local keyring của bạn từ máy chủ khóa keyserver. Điều này cũng sẽ fetch tìm nạp các khóa con subkey mới.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Cách giải quyết (sử dụng một khóa key công khai)
Nếu bạn gặp phải các lỗi mà bạn không thể sửa chữa, thay vào đó xin hãy cứ tự nhiên tải xuống và sử dụng khoá key công cộng này. Ngoài ra, bạn có thể sử dụng lệnh command sau:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Khoá key các nhà phát triển trình duyệt Tor Browser cũng đồng thời khả dụng trên keys.openpgp.org và có thể được tải xuống từ https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290.
Nếu bạn đang sử dụng MacOS hoặc GNU/Linux, khoá key cũng có thể được tìm nạp bằng cách chạy lệnh command sau đây:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Bạn có thể cũng muốn được tìm hiểu thêm về GnuPG.