How to verify Tor Browser's signature

A digital signature is a process that ensures a package was generated by its developers and has not been tampered with. Below we explain why it is important and how to verify that the Tor Browser you download is the one we created and has not been modified by an attacker.

表示:

ダウンロードページの各ファイルには、パッケージと同じ名前に拡張子「.asc」を付けた「署名」というラベルのファイルが添付されています。これらの .asc ファイルは OpenPGP 署名です。 これにより、ダウンロードしたファイルが、意図したものと正確に一致するか確認することができます。 これはウェブブラウザーによって異なりますが、通常は「署名」リンクを右クリックし、「名前を付けてファイルを保存」オプションを選択することで、このファイルをダウンロードできます。

例えば、tor-browser-windows-x86_64-portable-13.0.1.exe には tor-browser-windows-x86_64-portable-13.0.1.exe.asc が添付されています。 これらはファイル名の例であり、ダウンロードするファイル名と完全に一致するとは限りません。

署名はパッケージに署名された時点で日付が付けられます。 したがって新しいファイルがアップロードされる度に、新しい署名が異なる日付で生成されます。 署名を確認していれば、報告された日付が異なることを心配する必要はありません。

GnuPG のインストール

署名を検証するには、まず GnuPG をインストールする必要があります。 Windows を使用している場合、Gpg4win をダウンロードして実行してください。 署名を検証するためには、Windows のコマンドライン cmd.exe にいくつかのコマンドを入力する必要があります。

Tor デベロッパーキーをフェッチ

The Tor Browser team は Tor Browser リリースに署名をしています。 Tor Browser Developers の署名キー (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290) をインポートしてください。

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

以下のように表示されるはずです:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>

注意: 出力は上記と多少異なる (有効期限など) かもしれませんが、鍵は正しくインポートされているはずです。

エラーメッセージが表示された場合は、何らかの問題が発生しており、その原因がわかるまで続行できません。代わりに回避策 (公開鍵を使用) のセクションを使用して鍵をインポートできる場合があります。

キーをインポートしたら、ファイルに保存できます (ここではフィンガープリントで識別します) 。

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

このコマンドを実行すると、鍵はパス ./tor.keyring にあるファイル、つまり現在のディレクトリーに保存されます。 このコマンドを実行した後、./tor.keyring が存在しない場合、何か問題が発生したため、これが機能しなかった原因が分かるまで続行できません。

署名を検証する

ダウンロードしたパッケージの署名を検証するには、対応する「.asc」署名ファイルとインストーラーファイル自体をダウンロードし、GnuPG にダウンロードしたファイルの検証を求めるコマンドを使って検証する必要があります。

以下の例では、これら2つのファイルを「Downloads」フォルダーにダウンロードしたものとします。 これらのコマンドはサンプルのファイル名を使用しており、あなたのファイル名は異なることにご注意ください。サンプルのファイル名は、あなたがダウンロードしたファイルの正確な名前に置き換える必要があります。

#### Windows ユーザーの場合 (32 ビットパッケージをご利用の場合は、x86_64 を i686 に変更します)

gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe

コマンドの結果には、以下の内容が含まれます。

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

「No such file or directory」を含むエラーメッセージが表示された場合は、前の手順のいずれかで何か問題が発生したか、またはこれらのコマンドがファイル名の例を使用していることを忘れていて、あなたのコマンドが少し異なる可能性があります。

PGP 鍵の更新

以下のコマンドを実行して、キーサーバーからローカルの keyring 内の Tor Browser Developers 署名キーを更新します。これにより、新しいサブキーも取得されます。

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

回避策 (公開鍵を使用)

修正できないエラーが発生した場合は、代わりに こちらの公開鍵をダウンロードしてご利用ください。または、以下のコマンドを使用できます。

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Tor Browser Developers キーは keys.openpgp.org でも入手でき、https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290 からダウンロードできます。 GnuPG の詳細もご覧ください。

ダウンロードページの各ファイルには、パッケージと同じ名前に拡張子「.asc」を付けた「署名」というラベルのファイルが添付されています。これらの .asc ファイルは OpenPGP 署名です。 これにより、ダウンロードしたファイルが、意図したものと正確に一致するか確認することができます。 これはウェブブラウザーによって異なりますが、通常は「署名」リンクを右クリックし、「名前を付けてファイルを保存」オプションを選択することで、このファイルをダウンロードできます。

For example, tor-browser-macos-14.5.6.dmg is accompanied by tor-browser-macos-14.5.6.dmg.asc. これらはファイル名の例であり、ダウンロードするファイル名と完全に一致するとは限りません。

署名はパッケージに署名された時点で日付が付けられます。 したがって新しいファイルがアップロードされる度に、新しい署名が異なる日付で生成されます。 署名を確認していれば、報告された日付が異なることを心配する必要はありません。

GnuPG のインストール

署名を検証するには、まず GnuPG をインストールする必要があります。 macOS を利用している場合、GPGTools をインストールすることができます。

署名を検証するには、ターミナル (「アプリケーション」の下) でいくつかのコマンドを入力する必要があります。

Tor デベロッパーキーをフェッチ

The Tor Browser team は Tor Browser リリースに署名をしています。 Tor Browser Developers の署名キー (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290) をインポートしてください。

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

以下のように表示されるはずです:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>

注意: 出力は上記と多少異なる (有効期限など) かもしれませんが、鍵は正しくインポートされているはずです。

エラーメッセージが表示された場合は、何らかの問題が発生しており、その原因がわかるまで続行できません。代わりに回避策 (公開鍵を使用) のセクションを使用して鍵をインポートできる場合があります。

キーをインポートしたら、ファイルに保存できます (ここではフィンガープリントで識別します) 。

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

このコマンドを実行すると、鍵はパス ./tor.keyring にあるファイル、つまり現在のディレクトリーに保存されます。 このコマンドを実行した後、./tor.keyring が存在しない場合、何か問題が発生したため、これが機能しなかった原因が分かるまで続行できません。

署名を検証する

ダウンロードしたパッケージの署名を検証するには、対応する「.asc」署名ファイルとインストーラーファイル自体をダウンロードし、GnuPG にダウンロードしたファイルの検証を求めるコマンドを使って検証する必要があります。

以下の例では、これら2つのファイルを「Downloads」フォルダーにダウンロードしたものとします。 これらのコマンドはサンプルのファイル名を使用しており、あなたのファイル名は異なることにご注意ください。サンプルのファイル名は、あなたがダウンロードしたファイルの正確な名前に置き換える必要があります。

macOS ユーザーの場合:

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg

コマンドの結果には、以下の内容が含まれます。

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

「No such file or directory」を含むエラーメッセージが表示された場合は、前の手順のいずれかで何か問題が発生したか、またはこれらのコマンドがファイル名の例を使用していることを忘れていて、あなたのコマンドが少し異なる可能性があります。

回避策 (公開鍵を使用)

修正できないエラーが発生した場合は、代わりに こちらの公開鍵をダウンロードしてご利用ください。または、以下のコマンドを使用できます。

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Tor Browser Developers キーは keys.openpgp.org でも入手でき、https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290 からダウンロードできます。 The key can also be fetched by running the following command:

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

GnuPG の詳細もご覧ください。

ダウンロードページの各ファイルには、パッケージと同じ名前に拡張子「.asc」を付けた「署名」というラベルのファイルが添付されています。これらの .asc ファイルは OpenPGP 署名です。 これにより、ダウンロードしたファイルが、意図したものと正確に一致するか確認することができます。 これはウェブブラウザーによって異なりますが、通常は「署名」リンクを右クリックし、「名前を付けてファイルを保存」オプションを選択することで、このファイルをダウンロードできます。

For example, tor-browser-linux-x86_64-14.5.6.tar.xz is accompanied by tor-browser-linux-x86_64-14.5.6.tar.xz.asc. これらはファイル名の例であり、ダウンロードするファイル名と完全に一致するとは限りません。

署名はパッケージに署名された時点で日付が付けられます。 したがって新しいファイルがアップロードされる度に、新しい署名が異なる日付で生成されます。 署名を確認していれば、報告された日付が異なることを心配する必要はありません。

GnuPG のインストール

GNU/Linux を使用してる場合、 おそらく既に GnuPG がインストールしてあるでしょう。ほとんどの GNU/Linux ディストリビューションにプレインストールされています。

In order to verify the signature you will need to type a few commands in a terminal window. How to do this will vary depending on your distribution.

Tor デベロッパーキーをフェッチ

The Tor Browser team は Tor Browser リリースに署名をしています。 Tor Browser Developers の署名キー (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290) をインポートしてください。

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

以下のように表示されるはずです:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>

注意: 出力は上記と多少異なる (有効期限など) かもしれませんが、鍵は正しくインポートされているはずです。

エラーメッセージが表示された場合は、何らかの問題が発生しており、その原因がわかるまで続行できません。代わりに回避策 (公開鍵を使用) のセクションを使用して鍵をインポートできる場合があります。

キーをインポートしたら、ファイルに保存できます (ここではフィンガープリントで識別します) 。

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

このコマンドを実行すると、鍵はパス ./tor.keyring にあるファイル、つまり現在のディレクトリーに保存されます。 このコマンドを実行した後、./tor.keyring が存在しない場合、何か問題が発生したため、これが機能しなかった原因が分かるまで続行できません。

署名を検証する

ダウンロードしたパッケージの署名を検証するには、対応する「.asc」署名ファイルとインストーラーファイル自体をダウンロードし、GnuPG にダウンロードしたファイルの検証を求めるコマンドを使って検証する必要があります。

以下の例では、これら2つのファイルを「Downloads」フォルダーにダウンロードしたものとします。 これらのコマンドはサンプルのファイル名を使用しており、あなたのファイル名は異なることにご注意ください。サンプルのファイル名は、あなたがダウンロードしたファイルの正確な名前に置き換える必要があります。

#### GNU/Linux ユーザーの場合 (32 ビットパッケージをご利用の場合は、x86_64 を i686 に変更します)

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz

コマンドの結果には、以下の内容が含まれます。

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

「No such file or directory」を含むエラーメッセージが表示された場合は、前の手順のいずれかで何か問題が発生したか、またはこれらのコマンドがファイル名の例を使用していることを忘れていて、あなたのコマンドが少し異なる可能性があります。

PGP 鍵の更新

以下のコマンドを実行して、キーサーバーからローカルの keyring 内の Tor Browser Developers 署名キーを更新します。これにより、新しいサブキーも取得されます。

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

回避策 (公開鍵を使用)

修正できないエラーが発生した場合は、代わりに こちらの公開鍵をダウンロードしてご利用ください。または、以下のコマンドを使用できます。

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Tor Browser Developers キーは keys.openpgp.org でも入手でき、https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290 からダウンロードできます。 The key can also be fetched by running the following command:

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

GnuPG の詳細もご覧ください。