La signatura digital és un procés que assegura que un paquet determinat ha estat generat pels seus desenvolupadors i no ha estat alterat.
Below we explain why it is important and how to verify that the Tor Browser you download is the one we have created and has not been modified by some attacker.
Each file on our download page is accompanied by a file labelled "signature" with the same name as the package and the extension ".asc". These .asc files are OpenPGP signatures.
Això us permet verificar que el fitxer que esteu baixant és exactament el que heu demanat.
This will vary by web browser, but generally you can download this file by right-clicking the "signature" link and selecting the "save file as" option.
For example, tor-browser-windows-x86_64-portable-13.0.1.exe is accompanied by tor-browser-windows-x86_64-portable-13.0.1.exe.asc.
Aquests són noms de fitxer d'exemple i no coincidiran exactament amb els noms de fitxer que baixeu.
Ara us mostrem com podeu verificar la signatura digital del fitxer baixat en diferents sistemes operatius.
Tingueu en compte que la signatura porta la data del moment en què s'ha signat el paquet.
Per tant, cada vegada que es puja un fitxer nou es genera una nova signatura amb una data diferent.
Sempre que hàgiu verificat la signatura, no us hauríeu de preocupar perquè la data notificada pugui variar.
Instal·lació de GnuPG
En primer lloc, heu de tenir instal·lat GnuPG abans de poder verificar les signatures.
Per a usuaris de Windows:
Si feu servir Windows, baixeu Gpg4win i executeu el seu instal·lador.
Per verificar la signatura, haureu d'escriure unes quantes ordres a la línia d'ordres de Windows, cmd.exe.
Per a usuaris macOS:
Si utilitzeu macOS, podeu instal·lar GPGTools.
Per verificar la signatura, haureu d'escriure algunes ordres al Terminal (a "Aplicacions").
Per a usuaris de GNU/Linux:
Si utilitzeu GNU/Linux, probablement ja tingueu GnuPG al vostre sistema, ja que la majoria de distribucions GNU/Linux l'inclouen preinstal·lat.
In order to verify the signature you will need to type a few commands in a terminal window. How to do this will vary depending on your distribution.
Obtenir la clau dels desenvolupadors de Tor
The Tor Browser team signs Tor Browser releases.
Import the Tor Browser Developers signing key (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
This should show you something like:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
pub rsa4096 2014-12-15 [C] [expires: 2025-07-21]
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub rsa4096 2018-05-26 [S] [expires: 2020-12-19]
If you get an error message, something has gone wrong and you cannot continue until you've figured out why this didn't work. You might be able to import the key using the Workaround (using a public key) section instead.
Després d'importar la clau, podeu desar-la en un fitxer (identificant-la per la seva empremta digital aquí):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Aquesta ordre fa que la clau es desi en un fitxer que es troba al camí ./tor.keyring, és a dir, al directori actual.
Si ./tor.keyring no existeix després d'executar aquesta ordre, alguna cosa ha anat malament i no podeu continuar fins que no hàgiu esbrinat per què això no ha funcionat.
Verificar la signatura
To verify the signature of the package you downloaded, you will need to download the corresponding ".asc" signature file as well as the installer file itself, and verify it with a command that asks GnuPG to verify the file that you downloaded.
Els exemples següents suposen que heu baixat aquests dos fitxers a la vostra carpeta "Baixades".
Note that these commands use example file names and yours will be different: you will need to replace the example file names with exact names of the files you have downloaded.
For Windows users (change x86_64 to i686 if you have the 32-bit package):
gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe
Per a usuaris macOS:
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg
For GNU/Linux users (change x86_64 to i686 if you have the 32-bit package):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz
The result of the command should contain:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Si rebeu missatges d'error que contenen 'No existeix el fitxer o directori', o bé alguna cosa ha anat malament amb un dels passos anteriors o heu oblidat que aquestes ordres utilitzen noms de fitxer d'exemple i el vostre serà una mica diferent.
Refreshing the PGP key
Run the following command to refresh the Tor Browser Developers signing key in your local keyring from the keyserver. This will also fetch the new subkeys.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Workaround (using a public key)
If you encounter errors you cannot fix, feel free to download and use this public key instead. Alternatively, you may use the following command:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Tor Browser Developers key is also available on keys.openpgp.org and can be downloaded from https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290.
If you're using MacOS or GNU/Linux, the key can also be fetched by running the following command:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
També podeu aprendre més sobre GnuPG.