How to verify tor source code
A digital signature is a process that ensures the tor source code you download was created by Tor developers and has not been tampered with. Below we explain why it is important and how to verify that the Tor you download is the one we created and has not been modified by an attacker.
Achtung: Diese Anweisungen dienen der Überprüfung des Tor-Quellcodes. Please follow the right instructions to verify Tor Browser's signature.
Downloading the signature files
The Tor source files on our download page are accompanied by two files which are labelled "checksum" and "sig" with the same name as the package and the extension ".sha256sum" and ".sha256sum.asc" respectively.
Die Datei .asc prüft, ob die Datei .sha256sum (welche die Prüfsumme des Pakets enthält) nicht manipuliert wurde. Sobald die Signatur validiert wurde (siehe unten), kann die Integrität des Pakets überprüft werden mit:
$ sha256sum -c *.sha256sum
Diese Dateien ermöglichen es dir zu überprüfen, ob die Datei, die du heruntergeladen hast, genau diejenige ist, die du erhalten solltest. Dies ist je nach Webbrowser unterschiedlich, aber im Allgemeinen kannst du diese Datei herunterladen mit Rechtsklick auf die Links „sig“ und „checksum“ und die Option „Datei speichern unter“.
Zum Beispiel wird tor-0.4.6.7.tar.gz von tor-0.4.6.7.tar.gz.sha256sum.asc begleitet. Dies sind Beispiel-Datei-Namen und stimmen nicht genau mit den Datei-Namen überein, die du herunterlädst.
Bitte beachte, dass eine Signatur mit dem Datum versehen ist, an dem das Packet signiert wurde. Daher wird bei jedem Hochladen einer neuen Datei eine neue Signatur mit einem anderen Datum erzeugt. Solange du die Signatur überprüft hast, solltest du dir keine Sorgen bereiten, dass das gemeldete Datum sich ändern kann.
Installiert GnuPG
Zuerst musst du GnuPG installiert haben, bevor du Signaturen überprüfen kannst. Wenn du Windows benutzt, dann lade bitte Gpg4win herunter und installiere es.
Um die Signatur zu überprüfen, musst du ein paar Befehle in die Windows-Befehlszeile, cmd.exe, eingeben.
Holt den Schlüssel der Tor-Entwickler
Die folgenden Schlüssel können den Tarball signieren. Erwarte nicht alle, es kann variieren, je nachdem, wer verfügbar ist, um die Veröffentlichung freizugeben.
- Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
- David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
- Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB
Du kannst den Schlüssel mit den oben angegebenen Links abrufen oder mit:
$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org
Dies sollte etwa so aussehen (für nickm):
gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]
Wenn du eine Fehlermeldung erhältst, ist etwas schiefgelaufen und du kannst nicht fortfahren, bis du herausgefunden hast, warum es nicht funktioniert hat. Möglicherweise kannst du den Schlüssel stattdessen über den Abschnitt Behelfslösung (mit einem öffentlichen Schlüssel) importieren.
Nachdem du den Schlüssel importiert hast, kannst du ihn in einer Datei speichern (hier per Fingerabdruck identifizieren):
$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB
Dieser Befehl sorgt dafür, dass der Schlüssel in einer Datei unter dem Pfad ./tor.keyring, also in dem aktuellen Verzeichnis, gespeichert wird. Wenn ./tor.keyring nach dem Ausführen dieses Befehls nicht existiert, ist etwas schiefgelaufen, und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat.
Überprüft die Signatur
Um die Signatur des heruntergeladenen Pakets zu überprüfen, musst du die entsprechende .sha256sum.asc-Signaturdatei und die .sha256sum-Datei selbst herunterladen und sie mit einem Befehl überprüfen, der GnuPG auffordert, die heruntergeladene Datei zu überprüfen.
Die untenstehenden Beispiele gehen davon aus, dass du die Dateien im „Downloads“-Ordner gespeichert hast. Beachte, dass diese Befehle Beispiel-Datei-Namen verwenden und dass deine Datei-Namen anders lauten: Du wirst eine andere Version als 9.0 heruntergeladen haben und möglicherweise nicht die englische (en-US) Version gewählt haben.
gpgv --keyring .\tor.keyring Downloads\tor-0.4.6.10.tar.gz.sha256sum.asc Downloads\tor-0.4.6.10.tar.gz.sha256sum
Das Ergebnis des Befehls sollte in etwa so aussehen (je nachdem, welcher Schlüssel unterschrieben hat):
gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03 gpgv: using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601 gpgv: Good signature from "Nick Mathewson nickm@torproject.org"
Wenn du Fehler-Meldungen bekommst, die „No such file or directory“ enthalten, ist entweder bei einem der vorherigen Schritte etwas schiefgelaufen, oder du hast vergessen, dass diese Befehle Beispiel-Datei-Namen verwenden und deiner deshalb etwas anders lauten muss.
Du kannst außerdem mehr über GnuPG erfahren (englisch).
Überprüfung der Prüfsumme
Nachdem wir nun die Signaturen der Prüfsumme validiert haben, müssen wir die Integrität des Pakets überprüfen.
certUtil -hashfile tor-0.4.6.10.tar.gz.sha256sum SHA256
Achtung: Diese Anweisungen dienen der Überprüfung des Tor-Quellcodes. Please follow the right instructions to verify Tor Browser's signature.
Downloading the signature files
The Tor source files on our download page are accompanied by two files which are labelled "checksum" and "sig" with the same name as the package and the extension ".sha256sum" and ".sha256sum.asc" respectively.
Die Datei .asc prüft, ob die Datei .sha256sum (welche die Prüfsumme des Pakets enthält) nicht manipuliert wurde. Sobald die Signatur validiert wurde (siehe unten), kann die Integrität des Pakets überprüft werden mit:
$ sha256sum -c *.sha256sum
Diese Dateien ermöglichen es dir zu überprüfen, ob die Datei, die du heruntergeladen hast, genau diejenige ist, die du erhalten solltest. Dies ist je nach Webbrowser unterschiedlich, aber im Allgemeinen kannst du diese Datei herunterladen mit Rechtsklick auf die Links „sig“ und „checksum“ und die Option „Datei speichern unter“.
Zum Beispiel wird tor-0.4.6.7.tar.gz von tor-0.4.6.7.tar.gz.sha256sum.asc begleitet. Dies sind Beispiel-Datei-Namen und stimmen nicht genau mit den Datei-Namen überein, die du herunterlädst.
Bitte beachte, dass eine Signatur mit dem Datum versehen ist, an dem das Packet signiert wurde. Daher wird bei jedem Hochladen einer neuen Datei eine neue Signatur mit einem anderen Datum erzeugt. Solange du die Signatur überprüft hast, solltest du dir keine Sorgen bereiten, dass das gemeldete Datum sich ändern kann.
Installiert GnuPG
Wenn du macOS benutzt, kannst du die GPGTools installieren.
Holt den Schlüssel der Tor-Entwickler
Die folgenden Schlüssel können den Tarball signieren. Erwarte nicht alle, es kann variieren, je nachdem, wer verfügbar ist, um die Veröffentlichung freizugeben.
- Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
- David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
- Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB
Du kannst den Schlüssel mit den oben angegebenen Links abrufen oder mit:
$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org
Dies sollte etwa so aussehen (für nickm):
gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]
Wenn du eine Fehlermeldung erhältst, ist etwas schiefgelaufen und du kannst nicht fortfahren, bis du herausgefunden hast, warum es nicht funktioniert hat. Möglicherweise kannst du den Schlüssel stattdessen über den Abschnitt Behelfslösung (mit einem öffentlichen Schlüssel) importieren.
Nachdem du den Schlüssel importiert hast, kannst du ihn in einer Datei speichern (hier per Fingerabdruck identifizieren):
$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB
Dieser Befehl sorgt dafür, dass der Schlüssel in einer Datei unter dem Pfad ./tor.keyring, also in dem aktuellen Verzeichnis, gespeichert wird. Wenn ./tor.keyring nach dem Ausführen dieses Befehls nicht existiert, ist etwas schiefgelaufen, und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat.
Überprüft die Signatur
Um die Signatur des heruntergeladenen Pakets zu überprüfen, musst du die entsprechende .sha256sum.asc-Signaturdatei und die .sha256sum-Datei selbst herunterladen und sie mit einem Befehl überprüfen, der GnuPG auffordert, die heruntergeladene Datei zu überprüfen.
Die untenstehenden Beispiele gehen davon aus, dass du die Dateien im „Downloads“-Ordner gespeichert hast. Beachte, dass diese Befehle Beispiel-Datei-Namen verwenden und dass deine Datei-Namen anders lauten: Du wirst eine andere Version als 9.0 heruntergeladen haben und möglicherweise nicht die englische (en-US) Version gewählt haben.
Für macOS-Benutzer:
gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum
Wenn du Fehler-Meldungen bekommst, die „No such file or directory“ enthalten, ist entweder bei einem der vorherigen Schritte etwas schiefgelaufen, oder du hast vergessen, dass diese Befehle Beispiel-Datei-Namen verwenden und deiner deshalb etwas anders lauten muss.
Du kannst außerdem mehr über GnuPG erfahren (englisch).
Überprüfung der Prüfsumme
Nachdem wir nun die Signaturen der Prüfsumme validiert haben, müssen wir die Integrität des Pakets überprüfen.
shasum -a 256 tor-0.4.6.10.tar.gz.sha256sum
Achtung: Diese Anweisungen dienen der Überprüfung des Tor-Quellcodes. Please follow the right instructions to verify Tor Browser's signature.
Downloading the signature files
The Tor source files on our download page are accompanied by two files which are labelled "checksum" and "sig" with the same name as the package and the extension ".sha256sum" and ".sha256sum.asc" respectively.
Die Datei .asc prüft, ob die Datei .sha256sum (welche die Prüfsumme des Pakets enthält) nicht manipuliert wurde. Sobald die Signatur validiert wurde (siehe unten), kann die Integrität des Pakets überprüft werden mit:
$ sha256sum -c *.sha256sum
Diese Dateien ermöglichen es dir zu überprüfen, ob die Datei, die du heruntergeladen hast, genau diejenige ist, die du erhalten solltest. Dies ist je nach Webbrowser unterschiedlich, aber im Allgemeinen kannst du diese Datei herunterladen mit Rechtsklick auf die Links „sig“ und „checksum“ und die Option „Datei speichern unter“.
Zum Beispiel wird tor-0.4.6.7.tar.gz von tor-0.4.6.7.tar.gz.sha256sum.asc begleitet. Dies sind Beispiel-Datei-Namen und stimmen nicht genau mit den Datei-Namen überein, die du herunterlädst.
Bitte beachte, dass eine Signatur mit dem Datum versehen ist, an dem das Packet signiert wurde. Daher wird bei jedem Hochladen einer neuen Datei eine neue Signatur mit einem anderen Datum erzeugt. Solange du die Signatur überprüft hast, solltest du dir keine Sorgen bereiten, dass das gemeldete Datum sich ändern kann.
Installiert GnuPG
Zuerst musst du GnuPG installiert haben, bevor du Signaturen überprüfen kannst.
Wenn du Linux verwendest, dann hast du GnuPG wahrscheinlich bereits auf deinem System, da die meisten Linux-Distributionen es vorinstalliert haben.
Um die Signatur zu überprüfen, musst du ein paar Befehle in ein Terminalfenster eingeben. Wie du das machst, hängt von deiner Distribution ab.
Holt den Schlüssel der Tor-Entwickler
Die folgenden Schlüssel können den Tarball signieren. Erwarte nicht alle, es kann variieren, je nachdem, wer verfügbar ist, um die Veröffentlichung freizugeben.
- Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
- David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
- Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB
Du kannst den Schlüssel mit den oben angegebenen Links abrufen oder mit:
$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org
Dies sollte etwa so aussehen (für nickm):
gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]
Wenn du eine Fehlermeldung erhältst, ist etwas schiefgelaufen und du kannst nicht fortfahren, bis du herausgefunden hast, warum es nicht funktioniert hat. Möglicherweise kannst du den Schlüssel stattdessen über den Abschnitt Behelfslösung (mit einem öffentlichen Schlüssel) importieren.
Nachdem du den Schlüssel importiert hast, kannst du ihn in einer Datei speichern (hier per Fingerabdruck identifizieren):
$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB
Dieser Befehl sorgt dafür, dass der Schlüssel in einer Datei unter dem Pfad ./tor.keyring, also in dem aktuellen Verzeichnis, gespeichert wird. Wenn ./tor.keyring nach dem Ausführen dieses Befehls nicht existiert, ist etwas schiefgelaufen, und du kannst nicht weitermachen, bis du herausgefunden hast, warum das nicht funktioniert hat.
Überprüft die Signatur
Um die Signatur des heruntergeladenen Pakets zu überprüfen, musst du die entsprechende .sha256sum.asc-Signaturdatei und die .sha256sum-Datei selbst herunterladen und sie mit einem Befehl überprüfen, der GnuPG auffordert, die heruntergeladene Datei zu überprüfen.
Die untenstehenden Beispiele gehen davon aus, dass du die Dateien im „Downloads“-Ordner gespeichert hast. Beachte, dass diese Befehle Beispiel-Datei-Namen verwenden und dass deine Datei-Namen anders lauten: Du wirst eine andere Version als 9.0 heruntergeladen haben und möglicherweise nicht die englische (en-US) Version gewählt haben.
gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum
Das Ergebnis des Befehls sollte in etwa so aussehen (je nachdem, welcher Schlüssel unterschrieben hat):
gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03 gpgv: using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601 gpgv: Good signature from "Nick Mathewson nickm@torproject.org"
Wenn du Fehler-Meldungen bekommst, die „No such file or directory“ enthalten, ist entweder bei einem der vorherigen Schritte etwas schiefgelaufen, oder du hast vergessen, dass diese Befehle Beispiel-Datei-Namen verwenden und deiner deshalb etwas anders lauten muss.
Du kannst außerdem mehr über GnuPG erfahren (englisch).
Überprüfung der Prüfsumme
Nachdem wir nun die Signaturen der Prüfsumme validiert haben, müssen wir die Integrität des Pakets überprüfen.
sha256sum -c tor-0.4.6.10.tar.gz.sha256sum