Cara memverifikasi kode sumber Tor
Tanda tangan digital adalah proses yang memastikan bahwa kode sumber Tor yang Anda unduh dibuat oleh pengembang Tor dan tidak telah diubah. Di bawah ini kami menjelaskan mengapa hal ini penting dan bagaimana cara memverifikasi bahwa Tor yang Anda unduh adalah yang kami buat dan belum dimodifikasi oleh penyerang.
Perhatian: Petunjuk ini untuk memverifikasi kode sumber tor. Silakan ikuti petunjuk yang benar untuk memverifikasi tanda tangan Tor Browser.
Mengunduh berkas tanda tangan
Berkas sumber Tor di halaman unduhan kami download page disertai dengan dua berkas yang diberi label "checksum" dan "sig" dengan nama yang sama dengan paket dan ekstensi ".sha256sum" dan ".sha256sum.asc" masing-masing.
Berkas .asc akan memverifikasi bahwa berkas .sha256sum (yang berisi checksum paket) belum dirusak. Setelah tanda tangan divalidasi (lihat di bawah ini tentang cara melakukannya), integritas paket dapat divalidasi:
$ sha256sum -c *.sha256sum
Berkas-berkas ini memungkinkan Anda untuk memverifikasi bahwa berkas yang telah Anda unduh adalah berkas yang sesuai dengan yang kami inginkan. Ini akan bervariasi tergantung pada browser web, tetapi secara umum Anda dapat unduh berkas ini dengan mengklik kanan tautan "sig" dan "checksum" dan memilih opsi "simpan berkas sebagai".
Sebagai contoh, tor-0.4.6.7.tar.gz disertai dengan tor-0.4.6.7.tar.gz.sha256sum.asc. Ini adalah contoh nama berkas dan tidak akan sama persis dengan nama berkas yang Anda unduh.
Harap perhatikan bahwa tanda tangan diberi tanggal saat paket telah ditandatangani. Oleh karena itu setiap kali berkas baru diunggah, tanda tangan baru dibuat dengan tanggal yang berbeda. Selama Anda telah memverifikasi tanda tangan, Anda tidak perlu khawatir bahwa tanggal yang dilaporkan mungkin berbeda.
Menginstal GnuPG
Pertama-tama Anda harus memasang GnuPG sebelum Anda dapat memverifikasi tanda tangan. Jika Anda menggunakan Windows, unduh Gpg4win dan jalankan pemasangnya.
Untuk memverifikasi tanda tangan, Anda perlu mengetik beberapa perintah di baris perintah windows, cmd.exe.
Mengambil kunci Pengembang Tor
Tombol-tombol berikut ini dapat menandatangani tarball. Jangan berharap semuanya, bisa bervariasi tergantung pada siapa yang tersedia untuk membuat rilis.
- Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
- David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
- Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB
Anda dapat mengambil kunci dengan tautan yang disediakan di atas atau dengan:
$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org
Ini akan menunjukkan kepada Anda sesuatu seperti (untuk nickm):
gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]
Jika Anda mendapatkan pesan kesalahan, ada sesuatu yang tidak beres dan Anda tidak dapat melanjutkan sampai Anda menemukan mengapa ini tidak berhasil. Anda mungkin dapat mengimpor kunci menggunakan bagian Solusi (menggunakan kunci publik).
Setelah mengimpor kunci, Anda dapat menyimpannya ke berkas (mengidentifikasi dengan sidik jari di sini):
$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB
Perintah ini menghasilkan kunci yang disimpan ke berkas yang ditemukan di jalur ./tor.keyring, yaitu di direktori saat ini. Jika ./tor.keyring tidak ada setelah menjalankan perintah ini, ada yang salah dan Anda tidak dapat melanjutkan sampai Anda mengetahui mengapa ini tidak berhasil.
Memverifikasi tanda tangan
Untuk memverifikasi tanda tangan paket yang Anda unduh, Anda perlu mengunduh berkas tanda tangan .sha256sum.asc yang sesuai dan berkas .sha256sum itu sendiri, dan memverifikasinya dengan perintah yang meminta GnuPG untuk memverifikasi berkas yang Anda unduh.
Contoh di bawah ini mengasumsikan bahwa Anda mengunduh dua berkas ini ke folder "Unduhan". Perhatikan bahwa perintah ini menggunakan contoh nama berkas dan milik Anda akan berbeda: Anda akan mengunduh versi yang berbeda dari 9.0 dan Anda mungkin tidak memilih versi bahasa Inggris (en-US).
gpgv --keyring .\tor.keyring Downloads\tor-0.4.6.10.tar.gz.sha256sum.asc Downloads\tor-0.4.6.10.tar.gz.sha256sum
Hasil dari perintah tersebut akan menghasilkan sesuatu seperti ini (tergantung pada kunci mana yang menandatanganinya):
gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03 gpgv: using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601 gpgv: Good signature from "Nick Mathewson nickm@torproject.org"
Jika Anda mendapatkan galat kesalahan yang berisi 'Tidak ada berkas atau direktori seperti itu', kemungkian ada yang salah dengan salah satu langkah sebelumnya, atau Anda lupa bahwa perintah ini menggunakan contoh nama berkas dan milik Anda akan sedikit berbeda.
Anda mungkin juga ingin mempelajari lebih lanjut tentang GnuPG.
Memverifikasi checksum
Setelah kita memvalidasi tanda tangan checksum, kita perlu memverifikasi integritas paket.
certUtil -hashfile tor-0.4.6.10.tar.gz.sha256sum SHA256
Perhatian: Petunjuk ini untuk memverifikasi kode sumber tor. Silakan ikuti petunjuk yang benar untuk memverifikasi tanda tangan Tor Browser.
Mengunduh berkas tanda tangan
Berkas sumber Tor di halaman unduhan kami download page disertai dengan dua berkas yang diberi label "checksum" dan "sig" dengan nama yang sama dengan paket dan ekstensi ".sha256sum" dan ".sha256sum.asc" masing-masing.
Berkas .asc akan memverifikasi bahwa berkas .sha256sum (yang berisi checksum paket) belum dirusak. Setelah tanda tangan divalidasi (lihat di bawah ini tentang cara melakukannya), integritas paket dapat divalidasi:
$ sha256sum -c *.sha256sum
Berkas-berkas ini memungkinkan Anda untuk memverifikasi bahwa berkas yang telah Anda unduh adalah berkas yang sesuai dengan yang kami inginkan. Ini akan bervariasi tergantung pada browser web, tetapi secara umum Anda dapat unduh berkas ini dengan mengklik kanan tautan "sig" dan "checksum" dan memilih opsi "simpan berkas sebagai".
Sebagai contoh, tor-0.4.6.7.tar.gz disertai dengan tor-0.4.6.7.tar.gz.sha256sum.asc. Ini adalah contoh nama berkas dan tidak akan sama persis dengan nama berkas yang Anda unduh.
Harap perhatikan bahwa tanda tangan diberi tanggal saat paket telah ditandatangani. Oleh karena itu setiap kali berkas baru diunggah, tanda tangan baru dibuat dengan tanggal yang berbeda. Selama Anda telah memverifikasi tanda tangan, Anda tidak perlu khawatir bahwa tanggal yang dilaporkan mungkin berbeda.
Menginstal GnuPG
Jika Anda menggunakan macOS, Anda dapat memasang GPGTools.
Mengambil kunci Pengembang Tor
Tombol-tombol berikut ini dapat menandatangani tarball. Jangan berharap semuanya, bisa bervariasi tergantung pada siapa yang tersedia untuk membuat rilis.
- Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
- David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
- Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB
Anda dapat mengambil kunci dengan tautan yang disediakan di atas atau dengan:
$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org
Ini akan menunjukkan kepada Anda sesuatu seperti (untuk nickm):
gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]
Jika Anda mendapatkan pesan kesalahan, ada sesuatu yang tidak beres dan Anda tidak dapat melanjutkan sampai Anda menemukan mengapa ini tidak berhasil. Anda mungkin dapat mengimpor kunci menggunakan bagian Solusi (menggunakan kunci publik).
Setelah mengimpor kunci, Anda dapat menyimpannya ke berkas (mengidentifikasi dengan sidik jari di sini):
$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB
Perintah ini menghasilkan kunci yang disimpan ke berkas yang ditemukan di jalur ./tor.keyring, yaitu di direktori saat ini. Jika ./tor.keyring tidak ada setelah menjalankan perintah ini, ada yang salah dan Anda tidak dapat melanjutkan sampai Anda mengetahui mengapa ini tidak berhasil.
Memverifikasi tanda tangan
Untuk memverifikasi tanda tangan paket yang Anda unduh, Anda perlu mengunduh berkas tanda tangan .sha256sum.asc yang sesuai dan berkas .sha256sum itu sendiri, dan memverifikasinya dengan perintah yang meminta GnuPG untuk memverifikasi berkas yang Anda unduh.
Contoh di bawah ini mengasumsikan bahwa Anda mengunduh dua berkas ini ke folder "Unduhan". Perhatikan bahwa perintah ini menggunakan contoh nama berkas dan milik Anda akan berbeda: Anda akan mengunduh versi yang berbeda dari 9.0 dan Anda mungkin tidak memilih versi bahasa Inggris (en-US).
Untuk pengguna macOS:
gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum
Jika Anda mendapatkan galat kesalahan yang berisi 'Tidak ada berkas atau direktori seperti itu', kemungkian ada yang salah dengan salah satu langkah sebelumnya, atau Anda lupa bahwa perintah ini menggunakan contoh nama berkas dan milik Anda akan sedikit berbeda.
Anda mungkin juga ingin mempelajari lebih lanjut tentang GnuPG.
Memverifikasi checksum
Setelah kita memvalidasi tanda tangan checksum, kita perlu memverifikasi integritas paket.
shasum -a 256 tor-0.4.6.10.tar.gz.sha256sum
Perhatian: Petunjuk ini untuk memverifikasi kode sumber tor. Silakan ikuti petunjuk yang benar untuk memverifikasi tanda tangan Tor Browser.
Mengunduh berkas tanda tangan
Berkas sumber Tor di halaman unduhan kami download page disertai dengan dua berkas yang diberi label "checksum" dan "sig" dengan nama yang sama dengan paket dan ekstensi ".sha256sum" dan ".sha256sum.asc" masing-masing.
Berkas .asc akan memverifikasi bahwa berkas .sha256sum (yang berisi checksum paket) belum dirusak. Setelah tanda tangan divalidasi (lihat di bawah ini tentang cara melakukannya), integritas paket dapat divalidasi:
$ sha256sum -c *.sha256sum
Berkas-berkas ini memungkinkan Anda untuk memverifikasi bahwa berkas yang telah Anda unduh adalah berkas yang sesuai dengan yang kami inginkan. Ini akan bervariasi tergantung pada browser web, tetapi secara umum Anda dapat unduh berkas ini dengan mengklik kanan tautan "sig" dan "checksum" dan memilih opsi "simpan berkas sebagai".
Sebagai contoh, tor-0.4.6.7.tar.gz disertai dengan tor-0.4.6.7.tar.gz.sha256sum.asc. Ini adalah contoh nama berkas dan tidak akan sama persis dengan nama berkas yang Anda unduh.
Harap perhatikan bahwa tanda tangan diberi tanggal saat paket telah ditandatangani. Oleh karena itu setiap kali berkas baru diunggah, tanda tangan baru dibuat dengan tanggal yang berbeda. Selama Anda telah memverifikasi tanda tangan, Anda tidak perlu khawatir bahwa tanggal yang dilaporkan mungkin berbeda.
Menginstal GnuPG
Pertama-tama Anda harus memasang GnuPG sebelum Anda dapat memverifikasi tanda tangan.
Jika Anda menggunakan GNU/Linux, maka Anda mungkin sudah memiliki GnuPG di sistem Anda, karena sebagian besar distribusi GNU/Linux sudah dipasang sebelumnya.
Untuk memverifikasi tanda tangan, Anda perlu mengetikkan beberapa perintah di jendela terminal. Cara melakukan hal ini akan berbeda-beda, tergantung pada distribusi Anda.
Mengambil kunci Pengembang Tor
Tombol-tombol berikut ini dapat menandatangani tarball. Jangan berharap semuanya, bisa bervariasi tergantung pada siapa yang tersedia untuk membuat rilis.
- Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
- David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
- Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB
Anda dapat mengambil kunci dengan tautan yang disediakan di atas atau dengan:
$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org
Ini akan menunjukkan kepada Anda sesuatu seperti (untuk nickm):
gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]
Jika Anda mendapatkan pesan kesalahan, ada sesuatu yang tidak beres dan Anda tidak dapat melanjutkan sampai Anda menemukan mengapa ini tidak berhasil. Anda mungkin dapat mengimpor kunci menggunakan bagian Solusi (menggunakan kunci publik).
Setelah mengimpor kunci, Anda dapat menyimpannya ke berkas (mengidentifikasi dengan sidik jari di sini):
$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB
Perintah ini menghasilkan kunci yang disimpan ke berkas yang ditemukan di jalur ./tor.keyring, yaitu di direktori saat ini. Jika ./tor.keyring tidak ada setelah menjalankan perintah ini, ada yang salah dan Anda tidak dapat melanjutkan sampai Anda mengetahui mengapa ini tidak berhasil.
Memverifikasi tanda tangan
Untuk memverifikasi tanda tangan paket yang Anda unduh, Anda perlu mengunduh berkas tanda tangan .sha256sum.asc yang sesuai dan berkas .sha256sum itu sendiri, dan memverifikasinya dengan perintah yang meminta GnuPG untuk memverifikasi berkas yang Anda unduh.
Contoh di bawah ini mengasumsikan bahwa Anda mengunduh dua berkas ini ke folder "Unduhan". Perhatikan bahwa perintah ini menggunakan contoh nama berkas dan milik Anda akan berbeda: Anda akan mengunduh versi yang berbeda dari 9.0 dan Anda mungkin tidak memilih versi bahasa Inggris (en-US).
gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum
Hasil dari perintah tersebut akan menghasilkan sesuatu seperti ini (tergantung pada kunci mana yang menandatanganinya):
gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03 gpgv: using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601 gpgv: Good signature from "Nick Mathewson nickm@torproject.org"
Jika Anda mendapatkan galat kesalahan yang berisi 'Tidak ada berkas atau direktori seperti itu', kemungkian ada yang salah dengan salah satu langkah sebelumnya, atau Anda lupa bahwa perintah ini menggunakan contoh nama berkas dan milik Anda akan sedikit berbeda.
Anda mungkin juga ingin mempelajari lebih lanjut tentang GnuPG.
Memverifikasi checksum
Setelah kita memvalidasi tanda tangan checksum, kita perlu memverifikasi integritas paket.
sha256sum -c tor-0.4.6.10.tar.gz.sha256sum