Digital signature ni mfumo unaohakikisha kua kifurushi fulani kilitolewa na watengenezaji na haikuharibiwa.
Chini tunaelezea kwa nini ni muhimu na jinsi ya kuhakiki kuwa Tor Browser ulopakua ndio ile tulichotengeneza sisi na hakijabadilishwa na mtu anayeshambulia.
Kila faili katika ukurasa wetu wa kupakuainakuja na faili iliyo na lebo "saini" yenye jina sawa na kifurushi na kiambishi ".asc". Faili hizi zipo wazi na saini ya OpenPGP.
Itakuruhusu kuthibitisha faili ulilo sasisha ambalo hasa tulilikusudia upate.
Hii itatofuatiana kutokana na kivinjari, lakini kwa ujumla unaweza kupakua faili hili kwa kubofya kitufe cha kulia katika sehemu ya "signature"na kwa kuchagua chaguo la "save file as".
For example, tor-browser-windows-x86_64-portable-13.0.1.exe
is accompanied by tor-browser-windows-x86_64-portable-13.0.1.exe.asc
.
Kuna mfano jina la faili halifanani kabisa na jina la faili ulilopakua.
Kwa sasa tunaonesha ni kwa jinsi gani unaweza kuthibitisha faili lililopakuliwa kwa digital signature katika mifumo mbalimbali ya uendeshaji.
Tafadhali kumbuka kuwa sahihi ni tarehe wakati kifurushi kimetiwa sahihi.
Kwa ujumla kila muda faili jipya linapakuliwa kwa sahihi mpya inayotokana na tarehe tofauti.
Ilimradi umeshathibitisha sahihi hupaswi kujali kuwa tarehe iliyoripotiwa inaweza kutofautiana.
pakua GnuPG
Awali ya yote unahitaji kuwa na GnuPG iliyosanidiwa kabla haujathibitisha sahihi.
Kwa watumiaji wa Windows:
Ikiwa unatumia windowa, pakua Gpg4win na endesha kisanikishi chake.
Ili kuthibitisha sahihi unahitaji kuandika commands chache katika mstari wa command wa window, cmd.exe
.
Kwa watumiaji wa macOS:
Ikiwa unatumia macOS, unaweza sanikisha GPGTools.
Ili kuthibitisha sahihi unahitaji kuandika command chache katika Terminal (under "Applications").
Kwa watumiaji wa GNU/Linux:
Ikiwa unatumia GNU/Linux, labda tayari unayo GnuPG katika mfumo wako, kwa kuwa usambazaji mwingi wa GNU/Linux huja ikiwa imewekwa tayari.
Ili kuthibitisha saini, utahitaji kuingiza maagizo machache kwenye kompyuta. Jinsi ya kufanya hivyo itatofautiana kulingana na usambazaji wako.
kutafuta Tor kwa funguo ya watengenezaji
Timu ya Tor Browser imesaini Tor Browser ilioachiwa.
Ingiza Tor Browser kwa watengeneza programu kusaini funguo (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Hii inatakiwa kukuonyesha kitu fulani kama vile:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Jumla ya number ya zilizoshughulikiwa: 1
gpg: imported: 1
pub rsa4096 2014-12-15 [C] [expires: 2025-07-21]
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub rsa4096 2018-05-26 [S] [expires: 2020-12-19]
Ikiwa utapata ujumbe wa kosa, kitu kimeenda vibaya na huwezi kuendelea mpaka utambue kwa nini hii haikufanya kazi. Huenda ukaweza kuagiza ufunguo kwa kutumia sehemu ya Kuzunguka tatizo (kwa kutumia ufunguo wa umma) badala yake.
Baada ya kuingiza funguo, unapaswa kuzitunza katika faili (kiutambua kwa fingerprint hapa):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Matokeo ya amri ni muhimu kuhifadhiwa katika faili lililopatikana ./tor.keyring
, mfano katika muongozo wa sasa.
Kama ./or.keyring
haipo baada ya kutumia command hii, kuna kitu kina makosa na huwezi kuendelea hadi uwe umetatua kwanini hichi hakifanyi kazi.
hakiki saini
Kuhakiki saini ya kifurushi ulichopakua, utahitaji kupakua saini ya ".asc" inayohusiana nayo pamoja na faili la kusakinisha lenyewe, na uihakiki kitufe kinachotaka GnuPG kuhakiki faili lililopakuliwa.
Mifano hapa chini inadhani kuwa ulipakua mafaili haya mawili kwenye folda lako la "Downloads".
Note that these commands use example file names and yours will be different: you will need to replace the example file names with exact names of the files you have downloaded.
For Windows users (change x86_64 to i686 if you have the 32-bit package):
gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe
Kwa watumiaji wa macOS:
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg
For GNU/Linux users (change x86_64 to i686 if you have the 32-bit package):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz
The result of the command should contain:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Ikiwa unapata ujumbe wenye makosa zenye "No such file or directory', labda kuna kitu hakipo sawa katika hatua mojawapo zilizopita, au umesahau kuwa hizi command unazotumia kwa mfano majina ya file na yako yatakuwa na utofauti kidogo.
Refreshing the PGP key
Run the following command to refresh the Tor Browser Developers signing key in your local keyring from the keyserver. This will also fetch the new subkeys.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Njia mbadala kwa kutumia (funguo ya umma)
Kama unakutana na makosa unaweza rekebisha, kuwa huru kupakua na kutumia funguo ya umma badala. njia mbadala unaweza kutumia njia zifuatazo:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Mtengenezaji wa alama maalum za utambuzi za Tor Browser pia anapatikana katikakeys.openpgp.org na kuiweza kupakuliowa kutoka https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290.
Ikiwa unatumia MacOS au GNU/Linux, ufunguo unaweza kupatikana kwa kutumia njia ifuatayo:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
unaweza pia kuhitaji kujifunza zaidi kuhusu GnuPG.