ყურადღება: ეს მითითებები tor-ის პირველწყარო კოდის ნამდვილობის შესამოწმებლადაა. გთხოვთ მიჰყვეთ შესაბამის მითითებებს, Tor-ბრაუზერის ხელმოწერის შემოწმება თუ გსურთ.

ციფრული ხელმოწერით შეიძლება დადასტურება, რომ მოცემული კრებული ხელუხლებლადაა შენარჩუნებული იმ სახით, როგორითაც შემმუშავებელმა შექმნა. ქვემოთ აგიხსნით, თუ რატომაა მნიშვნელოვანი და როგორ ხდება შემოწმება იმისა, რომ თქვენ მიერ ჩამოტვირთული tor-ის პირველწყარო ნამდვილად ჩვენი შექმნილია და არაა შემტევის მიერ გადაკეთებული.

თითოეულ ფაილს ჩვენი ჩამოტვირთვის გვერდზე თან ახლავს ორი ფაილი წარწერებით „checksum“ და „sig“, რომელთაც კრებულის დასახელება აქვთ, ხოლო გაფართოებებია შესაბამისად „.sha256sum“ და „.sha256sum.asc“.

ფაილი .asc დაადასტურებს, რომ ფაილი .sha256sum (კრებულის სადარჯამის შემცველი) ხელუხლებელია. ამ ხელმოწერის დადასტურების შემდგომ (იხილეთ ქვემოთ მითითებები), კრებულის მთლიანობა შეიძლება შემოწმდეს ბრძანებით:

$ sha256sum -c *.sha256sum

ამ ფაილების მეშვეობით შეამოწმებთ, ჩამოტვირთული ფაილი ნამდვილად ჩვენგანაა თქვენთვის განკუთვნილი, თუ – არა. ბრაუზერების მიხედვით განსხვავდება, მაგრამ ზოგადად, ამ ფაილის ჩამოტვირთვა უნდა შეგეძლოთ მარჯვენა წკაპით „ხელმოწერის“ ბმულზე და „ფაილის შენახვის“ არჩევით.

მაგალითად, tor-0.4.6.7.tar.gz ფაილს ახლავს tor-0.4.6.7.tar.gz.sha256sum.asc. ესაა ფაილთა დასახელებების ნიმუში და ზუსტად არ დაემთხვევა იმ ფაილთა სახელებს, რომლებიც ჩამოტვირთეთ.

ახლა გაჩვენებთ, როგორ შეგიძლიათ ფაილის ციფრული ხელმოწერის დამოწმება სხვადასხვა საოპერაციო სისტემაზე. გაითვალისწინეთ, რომ ხელმოწერა დათარიღებულია კრებულის ხელმოწერის დროით. შესაბამისად, ყოველი ახალი ფაილის ატვირთვისას ახალი ხელმოწერა იქმნება ახალი თარიღით. ხელმოწერის დამოწმების შემთხვევაში შეგიძლიათ, არ იღელვოთ აღნიშნულ თარიღებს შორის სხვაობაზე.

GnuPG-ის დაყენება

პირველ რიგში საჭიროა, გეყენოთ GnuPG შემოწმების დაწყებამდე.

Windows-მომხმარებლებისთვის:

Windows-ზე გასაშვებად ჩამოტვირთეთ Gpg4win და დააყენეთ.

ხელმოწერის დასამოწმებლად დაგჭირდებათ რამდენიმე ბრძანების შეყვანა windows-ის ბრძანებათა ველში – cmd.exe.

macOS-ის მომხმარებელთათვის:

თუ გიყენიათ macOS, შეგიძლიათ დააყენოთ GPGTools.

ხელმოწერის დასამოწმებლად დაგჭირდებათ რამდენიმე ბრძანების შეყვანა ტერმინალში (Applications – Terminal).

GNU/Linux-მომხმარებლებისთვის:

თუ GNU/Linux-ს იყენებთ, მაშინ GnuPG, სავარაუდოდ, უკვე დაყენებული იქნება თქვენს სისტემაში, ვინაიდან GNU/Linux-სისტემების უმეტესობას თავისთავად მოჰყვება.

ხელმოწერის დასამოწმებლად დაგჭირდებათ რამდენიმე ბრძანების შეყვანა ტერმინალში. მითითებები განსხვავებულია სისტემების მიხედვით.

Tor-ის შემმუშავებლის გასაღების მიღება

მოცემული გასაღებებით შეიძლება Tarball-ის ხელმოწერა. ყველას მათგანს არ ელოდოთ, დამოკიდებულია იმაზე, თუ ვინ იქნება იმ დროისთვის ხელმისაწვდომი გამოშვების მოსამზადებლად.

გასაღების მისაღებად გამოგადგებათ ზემოთ მოცემული ბმულები ან:

$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org
$ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org
$ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org

წესით გამოჩნდეს მსგავსი რამ (nickm-ის შემთხვევაში):

gpg: key FE43009C4607B1FB: public key "Nick Mathewson <nickm@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
pub   rsa4096 2016-09-21 [C] [expires: 2025-10-04]
      2133BC600AB133E1D826D173FE43009C4607B1FB
uid           [ unknown] Nick Mathewson <nickm@torproject.org>
sub   rsa4096 2016-09-23 [S] [expires: 2025-10-04]
sub   rsa4096 2016-09-23 [E] [expires: 2025-10-04]

თუ შეცდომა ამოაგდო, რაღაც არასწორად წარიმართა და იქამდე ვერ განაგრძობთ, სანამ არ გაარკვევთ რა არ მუშაობს. გასაღების სხვა გზით შესატანად იხილეთ განყოფილება დროებითი გამოსავალი (საჯარო გასაღებით).

გასაღების შეტანის შემდეგ შეგეძლებათ ფაილში შენახვა (ამოიცანით მისივე ანაბეჭდით აქ):

$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB

ამ ბრძანების შედეგები გასაღებში ჩაიწერება ფაილში, მისამართზე ./tor.keyring, ანუ მიმდინარე საქაღალდეში. თუ ./tor.keyring არ იარსებებს ამ ბრძანების გაშვების შემდგომ, ესე იგი რაღაც არასწორად წარიმართა და მანამ ვერ განაგრძობთ, სანამ არ გაარკვევთ, რა არ მუშაობს.

ხელმოწერის დამოწმება (signature)

ჩამოტვირთული კრებულის ხელმოწერის დასამოწმებლად საჭიროა, აგრეთვე ჩამოტვირთოთ თანმხლები .sha256sum.asc ხელმოწერის ფაილი და თავად .sha256sum ფაილი, შემდეგ კი შესაბამისი ბრძანებით GnuPG დაამოწმებს მას.

ქვემოთ მოცემული მაგალითების მიხედვით, ჩამოტვირთული ფაილები განთავსებული უნდა იყოს თქვენს „Downloads“ საქაღალდეში. გაითვალისწინეთ, რომ ეს ბრძანებები იყენებს სახელების ნიმუშებს მაგალითისთვის და თქვენი განსხვავებული იქნება: შესაძლოა, ჩამოტვირთული არ გქონდეთ 9.0 ვერსია და არც ენად იყოს არჩეული English (en-US).

Windows-მომხმარებლებისთვის:

gpgv --keyring .\tor.keyring Downloads\tor-0.4.6.10.tar.gz.sha256sum.asc Downloads\tor-0.4.6.10.tar.gz.sha256sum

macOS-ის მომხმარებელთათვის:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum

BSD/Linux-მომხმარებლებისთვის:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum

ბრძანების შედეგად, უნდა დაეწეროს შემდეგი რამ (იმისდა მიხედვით, თუ რომელი გასაღებითაა ხელმოწერილი):

gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03
gpgv:                using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601
gpgv: Good signature from "Nick Mathewson <nickm@torproject.org>"

თუ ამოაგდო შეცდომა „No such file or directory“, რაღაც არასწორად წარიმართა წინა საფეხურებზე ან დაგავიწყდათ, რომ ამ ბრძანებებში სახელთა მაგალითებია მოცემული და თქვენი შესაძლოა განსხვავდებოდეს.

აგრეთვე, თუ სურვილი გაქვთ, იხილეთ ვრცლად GnuPG-ის შესახებ.

სადარჯამის დამოწმება

ახლა კი, როცა უკვე დადასტურებულია სადარჯამის ხელმოწერები, შეგვიძლია კრებულის მთლიანობის შემოწმება.

Windows-მომხმარებლებისთვის:

certUtil -hashfile tor-0.4.6.10.tar.gz.sha256sum SHA256

macOS-ის მომხმარებელთათვის:

shasum -a 256 tor-0.4.6.10.tar.gz.sha256sum

BSD/Linux-მომხმარებლებისთვის:

sha256sum -c tor-0.4.6.10.tar.gz.sha256sum