Dikkat: Bu yönergeler Tor kaynak kodunu doğrulamak içindir. Tor Browser imzasını doğrulamak için doğru yönergeleri izleyin.

İmza dosyalarını indirmek

İndirme sayfamızda bulunan Tor kaynak dosyalarının yanında, paketle aynı adı taşıyan ".sha256sum" ve ".sha256sum.asc" uzantılı "checksum" ve "sig" adlı iki dosya bulunur.

.asc dosyası .sha256sum dosyasının (paketin sağlamasını) kurcalanmamış olduğunu doğrular. İmza doğrulandığında (nasıl yapacağınızı öğrenmek için aşağıya bakın), paketin bütünlüğü şöyle denetlenebilir:

$ sha256sum -c *.sha256sum

Bu dosyalar indirdiğiniz dosyanın tam olarak almanızı istediğimiz dosya olduğunu doğrulamanızı sağlar. Bu işlem tarayıcınıza göre değişebilir. Ancak genellikle bu dosyayı "imza" ve "sağlama" bağlantısına sağ tıklayıp "farklı kaydet" üzerine tıklayarak indirebilirsiniz.

Örneğin, tor-0.4.6.7.tar.gz dosyasının yanında tor-0.4.6.7.tar.gz.sha256sum.asc dosyası bulunur. Bunlar örnek dosya adlarıdır ve indirdiğiniz dosya adlarıyla birebir aynı olmaz.

İmza dosyası tarihinin, paketin imzalandığı tarih ile aynı olduğunu görebilirsiniz. Yani her yeni paket dosyası yüklendiğinde, farklı bir tarihi olan yeni bir imza oluşturulur. İmzayı doğruladığınız sürece, belirtilen tarihin değişmesi önemli değildir.

GnuPG kurmak

İmzaları doğrulayabilmeniz için öncelikle GnuPG uygulaması kurulmuş olmalıdır. Windows kullanıyorsanız, Gpg4win uygulamasını indirip kurucuyu çalıştırın.

İmzayı doğrulamak için cmd.exe Windows komut satırında bir kaç komut yazmanız gerekir.

Tor geliştiricilerinin anahtarlarını almak

Aşağıdaki anahtarlar tarball paketini imzalayabilir. Tümünü beklemeyin, yayını yapan kimin uygun olduğuna bağlı olarak değişebilir.

• Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
• David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
• Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB

Anahtarı yukarıda verilen bağlantılarla ya da şu komutlarla alabilirsiniz:

$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org

Bunun sonucunda şöyle bir şey görmelisiniz (nickm için):

gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]

Bir sorun çıktığı ile ilgili bir hata iletisi görürseniz, sorunun ne olduğunu anlayana kadar sonraki adıma geçemezsiniz. Bunun yerine Geçici çözüm (herkese açık anahtar kullanarak) bölümünü kullanarak anahtarı içe aktarabilirsiniz.

Anahtarı içe aktardıktan sonra bir dosyaya kaydedebilirsiniz (buradaki parmak izinden tanıyarak):

$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB

Anahtar, bu komut tamamlandığında, örneğin geçerli klasör içinde ./tor.keyring yolunda bulunan bir dosyaya kaydedilir. Bu komutu yürüttükten sonra ./tor.keyring klasörü yoksa, bir sorun çıkmış demektir ve sorunu anlayana kadar ilerleyemezsiniz.

İmzayı doğrulamak

İndirdiğiniz paketin imzasını doğrulamak için kurucu dosyasının yanında ilgili .sha256sum..asc imza dosyasını ve .sha256sum dosyasını da indirmeniz gerekir. Ardından bir GnuPG komutu yazarak indirdiğiniz dosyanın imzasını doğrulayabilirsiniz.

Aşağıdaki örnek komutlar bu iki dosyayı Downloads klasörüne indirdiğinizi varsayarak yazılmıştır. Bu komutlarda örnek dosya adları kullanıldığını ve sizin dosyanızın farklı olabileceğini unutmayın. 9.0 sürümü yerine başka bir sürümü ya da İngilizce (en-US) yerine başka bir dili seçmiş olabilirsiniz.

gpgv --keyring .\tor.keyring Downloads\tor-0.4.6.10.tar.gz.sha256sum.asc Downloads\tor-0.4.6.10.tar.gz.sha256sum

Komutun sonucunda hangi anahtar ile imzalandığına bağlı olarak şöyle bir şey görmelisiniz ):

gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03 gpgv: using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601 gpgv: Good signature from "Nick Mathewson nickm@torproject.org"

'Dosya ya da klasör bulunamadı' şeklinde hata iletileri alırsanız ya önceki adımlarda bir şeyler yanlıştır ya da örnek dosya adlarını sizin durumunuza uyan dosya adları ile değiştirmemişsinizdir.

GnuPG ile ilgili ayrıntılı bilgi almak için buraya tıklayabilirsiniz.

Sağlamayı doğrulamak

Şimdi sağlama toplamının imzalarını doğruladığımıza göre, paketin bütünlüğünü doğrulamamız gerekiyor.

certUtil -hashfile tor-0.4.6.10.tar.gz.sha256sum SHA256

Dikkat: Bu yönergeler Tor kaynak kodunu doğrulamak içindir. Tor Browser imzasını doğrulamak için doğru yönergeleri izleyin.

İmza dosyalarını indirmek

İndirme sayfamızda bulunan Tor kaynak dosyalarının yanında, paketle aynı adı taşıyan ".sha256sum" ve ".sha256sum.asc" uzantılı "checksum" ve "sig" adlı iki dosya bulunur.

.asc dosyası .sha256sum dosyasının (paketin sağlamasını) kurcalanmamış olduğunu doğrular. İmza doğrulandığında (nasıl yapacağınızı öğrenmek için aşağıya bakın), paketin bütünlüğü şöyle denetlenebilir:

$ sha256sum -c *.sha256sum

Bu dosyalar indirdiğiniz dosyanın tam olarak almanızı istediğimiz dosya olduğunu doğrulamanızı sağlar. Bu işlem tarayıcınıza göre değişebilir. Ancak genellikle bu dosyayı "imza" ve "sağlama" bağlantısına sağ tıklayıp "farklı kaydet" üzerine tıklayarak indirebilirsiniz.

Örneğin, tor-0.4.6.7.tar.gz dosyasının yanında tor-0.4.6.7.tar.gz.sha256sum.asc dosyası bulunur. Bunlar örnek dosya adlarıdır ve indirdiğiniz dosya adlarıyla birebir aynı olmaz.

İmza dosyası tarihinin, paketin imzalandığı tarih ile aynı olduğunu görebilirsiniz. Yani her yeni paket dosyası yüklendiğinde, farklı bir tarihi olan yeni bir imza oluşturulur. İmzayı doğruladığınız sürece, belirtilen tarihin değişmesi önemli değildir.

GnuPG kurmak

macOS kullanıyorsanız GPGTools uygulamasını kurabilirsiniz.

Tor geliştiricilerinin anahtarlarını almak

Aşağıdaki anahtarlar tarball paketini imzalayabilir. Tümünü beklemeyin, yayını yapan kimin uygun olduğuna bağlı olarak değişebilir.

• Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
• David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
• Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB

Anahtarı yukarıda verilen bağlantılarla ya da şu komutlarla alabilirsiniz:

$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org

Bunun sonucunda şöyle bir şey görmelisiniz (nickm için):

gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]

Bir sorun çıktığı ile ilgili bir hata iletisi görürseniz, sorunun ne olduğunu anlayana kadar sonraki adıma geçemezsiniz. Bunun yerine Geçici çözüm (herkese açık anahtar kullanarak) bölümünü kullanarak anahtarı içe aktarabilirsiniz.

Anahtarı içe aktardıktan sonra bir dosyaya kaydedebilirsiniz (buradaki parmak izinden tanıyarak):

$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB

Anahtar, bu komut tamamlandığında, örneğin geçerli klasör içinde ./tor.keyring yolunda bulunan bir dosyaya kaydedilir. Bu komutu yürüttükten sonra ./tor.keyring klasörü yoksa, bir sorun çıkmış demektir ve sorunu anlayana kadar ilerleyemezsiniz.

İmzayı doğrulamak

İndirdiğiniz paketin imzasını doğrulamak için kurucu dosyasının yanında ilgili .sha256sum..asc imza dosyasını ve .sha256sum dosyasını da indirmeniz gerekir. Ardından bir GnuPG komutu yazarak indirdiğiniz dosyanın imzasını doğrulayabilirsiniz.

Aşağıdaki örnek komutlar bu iki dosyayı Downloads klasörüne indirdiğinizi varsayarak yazılmıştır. Bu komutlarda örnek dosya adları kullanıldığını ve sizin dosyanızın farklı olabileceğini unutmayın. 9.0 sürümü yerine başka bir sürümü ya da İngilizce (en-US) yerine başka bir dili seçmiş olabilirsiniz.

macOS kullanıcıları için:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum

'Dosya ya da klasör bulunamadı' şeklinde hata iletileri alırsanız ya önceki adımlarda bir şeyler yanlıştır ya da örnek dosya adlarını sizin durumunuza uyan dosya adları ile değiştirmemişsinizdir.

GnuPG ile ilgili ayrıntılı bilgi almak için buraya tıklayabilirsiniz.

Sağlamayı doğrulamak

Şimdi sağlama toplamının imzalarını doğruladığımıza göre, paketin bütünlüğünü doğrulamamız gerekiyor.

shasum -a 256 tor-0.4.6.10.tar.gz.sha256sum

Dikkat: Bu yönergeler Tor kaynak kodunu doğrulamak içindir. Tor Browser imzasını doğrulamak için doğru yönergeleri izleyin.

İmza dosyalarını indirmek

İndirme sayfamızda bulunan Tor kaynak dosyalarının yanında, paketle aynı adı taşıyan ".sha256sum" ve ".sha256sum.asc" uzantılı "checksum" ve "sig" adlı iki dosya bulunur.

.asc dosyası .sha256sum dosyasının (paketin sağlamasını) kurcalanmamış olduğunu doğrular. İmza doğrulandığında (nasıl yapacağınızı öğrenmek için aşağıya bakın), paketin bütünlüğü şöyle denetlenebilir:

$ sha256sum -c *.sha256sum

Bu dosyalar indirdiğiniz dosyanın tam olarak almanızı istediğimiz dosya olduğunu doğrulamanızı sağlar. Bu işlem tarayıcınıza göre değişebilir. Ancak genellikle bu dosyayı "imza" ve "sağlama" bağlantısına sağ tıklayıp "farklı kaydet" üzerine tıklayarak indirebilirsiniz.

Örneğin, tor-0.4.6.7.tar.gz dosyasının yanında tor-0.4.6.7.tar.gz.sha256sum.asc dosyası bulunur. Bunlar örnek dosya adlarıdır ve indirdiğiniz dosya adlarıyla birebir aynı olmaz.

İmza dosyası tarihinin, paketin imzalandığı tarih ile aynı olduğunu görebilirsiniz. Yani her yeni paket dosyası yüklendiğinde, farklı bir tarihi olan yeni bir imza oluşturulur. İmzayı doğruladığınız sürece, belirtilen tarihin değişmesi önemli değildir.

GnuPG kurmak

İmzaları doğrulayabilmeniz için öncelikle GnuPG uygulaması kurulmuş olmalıdır.

GNU/Linux kullanıyorsanız, çoğu GNU/Linux dağıtımında önceden kurulmuş olduğundan büyük olasılıkla sisteminizde GnuPG vardır.

İmzayı doğrulamak için bir terminal penceresinden birkaç komut yazmanız gerekecek. Bunun nasıl yapılacağı, dağıtımınıza göre değişir.

Tor geliştiricilerinin anahtarlarını almak

Aşağıdaki anahtarlar tarball paketini imzalayabilir. Tümünü beklemeyin, yayını yapan kimin uygun olduğuna bağlı olarak değişebilir.

• Alexander Færøy: 514102454D0A87DB0767A1EBBE6A0531C18A9179
• David Goulet: B74417EDDF22AC9F9E90F49142E86A2A11F48D36
• Nick Mathewson: 2133BC600AB133E1D826D173FE43009C4607B1FB

Anahtarı yukarıda verilen bağlantılarla ya da şu komutlarla alabilirsiniz:

$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org $ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org

Bunun sonucunda şöyle bir şey görmelisiniz (nickm için):

gpg: key FE43009C4607B1FB: public key "Nick Mathewson nickm@torproject.org" imported gpg: Total number processed: 1 gpg: imported: 1 pub rsa4096 2016-09-21 [C] [expires: 2025-10-04] 2133BC600AB133E1D826D173FE43009C4607B1FB uid [ unknown] Nick Mathewson nickm@torproject.org sub rsa4096 2016-09-23 [S] [expires: 2025-10-04] sub rsa4096 2016-09-23 [E] [expires: 2025-10-04]

Bir sorun çıktığı ile ilgili bir hata iletisi görürseniz, sorunun ne olduğunu anlayana kadar sonraki adıma geçemezsiniz. Bunun yerine Geçici çözüm (herkese açık anahtar kullanarak) bölümünü kullanarak anahtarı içe aktarabilirsiniz.

Anahtarı içe aktardıktan sonra bir dosyaya kaydedebilirsiniz (buradaki parmak izinden tanıyarak):

$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB

Anahtar, bu komut tamamlandığında, örneğin geçerli klasör içinde ./tor.keyring yolunda bulunan bir dosyaya kaydedilir. Bu komutu yürüttükten sonra ./tor.keyring klasörü yoksa, bir sorun çıkmış demektir ve sorunu anlayana kadar ilerleyemezsiniz.

İmzayı doğrulamak

İndirdiğiniz paketin imzasını doğrulamak için kurucu dosyasının yanında ilgili .sha256sum..asc imza dosyasını ve .sha256sum dosyasını da indirmeniz gerekir. Ardından bir GnuPG komutu yazarak indirdiğiniz dosyanın imzasını doğrulayabilirsiniz.

Aşağıdaki örnek komutlar bu iki dosyayı Downloads klasörüne indirdiğinizi varsayarak yazılmıştır. Bu komutlarda örnek dosya adları kullanıldığını ve sizin dosyanızın farklı olabileceğini unutmayın. 9.0 sürümü yerine başka bir sürümü ya da İngilizce (en-US) yerine başka bir dili seçmiş olabilirsiniz.

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum

Komutun sonucunda hangi anahtar ile imzalandığına bağlı olarak şöyle bir şey görmelisiniz ):

gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03 gpgv: using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601 gpgv: Good signature from "Nick Mathewson nickm@torproject.org"

'Dosya ya da klasör bulunamadı' şeklinde hata iletileri alırsanız ya önceki adımlarda bir şeyler yanlıştır ya da örnek dosya adlarını sizin durumunuza uyan dosya adları ile değiştirmemişsinizdir.

GnuPG ile ilgili ayrıntılı bilgi almak için buraya tıklayabilirsiniz.

Sağlamayı doğrulamak

Şimdi sağlama toplamının imzalarını doğruladığımıza göre, paketin bütünlüğünü doğrulamamız gerekiyor.

sha256sum -c tor-0.4.6.10.tar.gz.sha256sum