إن التوقيع رقمي هو عملية يُتحقَّق من خلالها أن حزمة معينة قد تم توليدها من مطوريها ولم يتم التلاعب بها. نوضح أدناه سبب أهميتها وكيفية التحقق من أن متصفح تور الذي تقوم بتنزيله هو المتصفح الذي أنشأناه ولم يتم تعديله من قبل بعض المهاجمين.
كل ملف في صفحة تنزيلنا يكون مصحوبا بملف يسمى "التوقيع" بنفس اسم الحزمة والامتداد ".asc". إن الملفات .asc هذه هي توقيعات OpenPGP. إنها تمكنك من التحقق أن الملف الذي نزّلته هو بالضبط ما كنا ننوي إيصاله إليك. قد يختلف هذا من متصفح لآخر، ولكن بشكل عام يمكنك تنزيل هذا الملف بالضغط على الزر الأيمن للفأرة فوق الرابط "التوقيع" وتحديد الخيار "حفظ الملف باسم".
مثلا، يكون tor-browser-windows-x86_64-portable-13.0.1.exe مصحوبا بـtor-browser-windows-x86_64-portable-13.0.1.exe.asc.
هذه أمثلة لأسماء الملفات ولن تتطابق تماما مع أسماء الملفات التي تقوم بتنزيلها.
لاحظ أن التوقيع يتم تأريخه من اللحظة التي يتم فيها توقيع الحزمة. لذلك، كل مرة يُرفع فيها ملف جديد يتم توليد توقيع جديد بتاريخ مختلف. طالما أنك تحققت من التوقيع، لا يجب عليك أن تقلق من كون التاريخ الوارد قد يكون مختلفا.
تثبيت GnuPG
قبل أي شيء تحتاج إلى أن يكون عندك GnuPG مثبتا قبل أن تتمكن من التحقق من التواقيع.
إذا كنت تستخدم ويندوز، نزّل Gpg4win وقم بعملية التثبيت.
لأجل تأكيد التوقيع، ستحتاج إلى كتابة القليل من الأوامر في سطر الأوامر الخاص بنظام ويندوز cmd.exe.
جلب مفتاح مطوري تور
يُوقِّع فريق متصفح تور إصدارات متصفّح تور. قم باستيراد مفتاح توقيع مُطوري متصفّ تور (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
هذا سيظهر لك شيئا مثل:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
ملاحظة: قد يختلف الناتج الخاص بك إلى حد ما عما ورد أعلاه (على سبيل المثال، تواريخ انتهاء الصلاحية)، ولكن يجب أن ترى المفتاح المستورد بشكل صحيح.
إذا تلقيت رسالة خطأ، فقد حدث خطأ ما ولا يمكنك المتابعة حتى تكتشف سبب عدم نجاح ذلك. قد تتمكن من استيراد المفتاح باستخدام قسم الحل البديل (باستخدام مفتاح عمومي) بدلا من ذلك.
بعد استيراد المفتاح، يمكنك حفظه في ملف (عبر التعرف عليه من بصمته هنا):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
يؤدي هذا الأمر إلى حفظ المفتاح في ملف موجود في المسار ./tor.keyring، أي في المجلد الحالي.
إذا لم يكن ./tor.keyring موجودا بعد تشغيل هذا الأمر، فقد حدث خطأ ما ولا يمكنك المتابعة حتى تكتشف سبب عدم نجاح ذلك.
التحقق من التوقيع
للتحقق من توقيع الحزمة التي نزَّلتها، ستحتاج إلى أن تُنزِّل ملف التوقيع ".asc" المقابل لها، إضافة إلى ملف التثبيت نفسه، والتحقق منه بأمر يطلب من GnuPG التحقق من الملف الذي نزَّلته.
تفترض الأمثلة في الأسفل أنك نزّلت هذين الملفَين لمجلد ”التنزيلات“ الخاص بك. لاحظ أن هذه الأوامر تستخدم أمثلة لأسماء الملفات وستكون أسماء الملفات الخاصة بك مختلفة: ستحتاج إلى استبدال أسماء ملفات الأمثلة بالأسماء الدقيقة للملفات التي قمت بتنزيلها.
لمستخدمي ويندوز (غيّر x86_64 إلى i686 إذا كانت عندك حزمة لمعالج ذو 32-بِتْ):
gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe
يجب أن تحتوي نتيجة الأمر على:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
إذا تلقيت رسائل خطأ تحتوي على "لا يوجد مثل هذا الملف أو الدليل" (No such file or directory)، فإما أن هناك خطأ ما في إحدى الخطوات السابقة، أو نسيت أن هذه الأوامر تستخدم أسماء الملفات كأمثلة وستكون أوامرك مختلفة قليلاً.
تحديث المفتاح PGP
قم بتشغيل الأمر التالي لتحديث مفتاح توقيع تور في حلقة مفاتيحك المحلية انطلاقا من خادم المفاتيح. سيؤدي هذا أيضا إلى جلب المفاتيح الفرعية الجديدة.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
الحل البديل (باستخدام مفتاح عمومي)
إذا واجهتك أخطاء لا تستطيع حلها، يمكنك أن تجرب بدلا من ذلك تنزيل واستخدام هذا المفتاح العمومي. وفى هذه الحالة يمكنك أن تستخدم هذا الأمر:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
يوجد مفتاح مُطوِّري متصفح تور أيضا في keys.openpgp.org ويمكن تنزيله من https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. ربما تريد أيضا أن تتعلم المزيد عن GnuPG.
كل ملف في صفحة تنزيلنا يكون مصحوبا بملف يسمى "التوقيع" بنفس اسم الحزمة والامتداد ".asc". إن الملفات .asc هذه هي توقيعات OpenPGP. إنها تمكنك من التحقق أن الملف الذي نزّلته هو بالضبط ما كنا ننوي إيصاله إليك. قد يختلف هذا من متصفح لآخر، ولكن بشكل عام يمكنك تنزيل هذا الملف بالضغط على الزر الأيمن للفأرة فوق الرابط "التوقيع" وتحديد الخيار "حفظ الملف باسم".
For example, tor-browser-macos-14.5.6.dmg is accompanied by tor-browser-macos-14.5.6.dmg.asc.
هذه أمثلة لأسماء الملفات ولن تتطابق تماما مع أسماء الملفات التي تقوم بتنزيلها.
لاحظ أن التوقيع يتم تأريخه من اللحظة التي يتم فيها توقيع الحزمة. لذلك، كل مرة يُرفع فيها ملف جديد يتم توليد توقيع جديد بتاريخ مختلف. طالما أنك تحققت من التوقيع، لا يجب عليك أن تقلق من كون التاريخ الوارد قد يكون مختلفا.
تثبيت GnuPG
قبل أي شيء تحتاج إلى أن يكون عندك GnuPG مثبتا قبل أن تتمكن من التحقق من التواقيع. إذا كنت تستخدم نظام ماكْ، فيمكنك تثبيت GPGTools.
لأجل التحقق من التوقيع، سوف تحتاج إلى كتابة بعض الأوامر في نافذة الأوامر (أسفل "التطبيقات").
جلب مفتاح مطوري تور
يُوقِّع فريق متصفح تور إصدارات متصفّح تور. قم باستيراد مفتاح توقيع مُطوري متصفّ تور (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
هذا سيظهر لك شيئا مثل:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
ملاحظة: قد يختلف الناتج الخاص بك إلى حد ما عما ورد أعلاه (على سبيل المثال، تواريخ انتهاء الصلاحية)، ولكن يجب أن ترى المفتاح المستورد بشكل صحيح.
إذا تلقيت رسالة خطأ، فقد حدث خطأ ما ولا يمكنك المتابعة حتى تكتشف سبب عدم نجاح ذلك. قد تتمكن من استيراد المفتاح باستخدام قسم الحل البديل (باستخدام مفتاح عمومي) بدلا من ذلك.
بعد استيراد المفتاح، يمكنك حفظه في ملف (عبر التعرف عليه من بصمته هنا):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
يؤدي هذا الأمر إلى حفظ المفتاح في ملف موجود في المسار ./tor.keyring، أي في المجلد الحالي.
إذا لم يكن ./tor.keyring موجودا بعد تشغيل هذا الأمر، فقد حدث خطأ ما ولا يمكنك المتابعة حتى تكتشف سبب عدم نجاح ذلك.
التحقق من التوقيع
للتحقق من توقيع الحزمة التي نزَّلتها، ستحتاج إلى أن تُنزِّل ملف التوقيع ".asc" المقابل لها، إضافة إلى ملف التثبيت نفسه، والتحقق منه بأمر يطلب من GnuPG التحقق من الملف الذي نزَّلته.
تفترض الأمثلة في الأسفل أنك نزّلت هذين الملفَين لمجلد ”التنزيلات“ الخاص بك. لاحظ أن هذه الأوامر تستخدم أمثلة لأسماء الملفات وستكون أسماء الملفات الخاصة بك مختلفة: ستحتاج إلى استبدال أسماء ملفات الأمثلة بالأسماء الدقيقة للملفات التي قمت بتنزيلها.
لمستخدمي نظام ماكْ:
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg
يجب أن تحتوي نتيجة الأمر على:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
إذا تلقيت رسائل خطأ تحتوي على "لا يوجد مثل هذا الملف أو الدليل" (No such file or directory)، فإما أن هناك خطأ ما في إحدى الخطوات السابقة، أو نسيت أن هذه الأوامر تستخدم أسماء الملفات كأمثلة وستكون أوامرك مختلفة قليلاً.
الحل البديل (باستخدام مفتاح عمومي)
إذا واجهتك أخطاء لا تستطيع حلها، يمكنك أن تجرب بدلا من ذلك تنزيل واستخدام هذا المفتاح العمومي. وفى هذه الحالة يمكنك أن تستخدم هذا الأمر:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
يوجد مفتاح مُطوِّري متصفح تور أيضا في keys.openpgp.org ويمكن تنزيله من https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. The key can also be fetched by running the following command:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
ربما تريد أيضا أن تتعلم المزيد عن GnuPG.
كل ملف في صفحة تنزيلنا يكون مصحوبا بملف يسمى "التوقيع" بنفس اسم الحزمة والامتداد ".asc". إن الملفات .asc هذه هي توقيعات OpenPGP. إنها تمكنك من التحقق أن الملف الذي نزّلته هو بالضبط ما كنا ننوي إيصاله إليك. قد يختلف هذا من متصفح لآخر، ولكن بشكل عام يمكنك تنزيل هذا الملف بالضغط على الزر الأيمن للفأرة فوق الرابط "التوقيع" وتحديد الخيار "حفظ الملف باسم".
For example, tor-browser-linux-x86_64-14.5.6.tar.xz is accompanied by tor-browser-linux-x86_64-14.5.6.tar.xz.asc.
هذه أمثلة لأسماء الملفات ولن تتطابق تماما مع أسماء الملفات التي تقوم بتنزيلها.
لاحظ أن التوقيع يتم تأريخه من اللحظة التي يتم فيها توقيع الحزمة. لذلك، كل مرة يُرفع فيها ملف جديد يتم توليد توقيع جديد بتاريخ مختلف. طالما أنك تحققت من التوقيع، لا يجب عليك أن تقلق من كون التاريخ الوارد قد يكون مختلفا.
تثبيت GnuPG
اذا كنت تستخدم جْنو-لينَكْسْ، فعلى الأرجح أن GnuPG موجود مسبقا على نظامك، لأنه يكون مثبتا في أغلب توزيعات لينَكْسْ.
In order to verify the signature you will need to type a few commands in a terminal window. How to do this will vary depending on your distribution.
جلب مفتاح مطوري تور
يُوقِّع فريق متصفح تور إصدارات متصفّح تور. قم باستيراد مفتاح توقيع مُطوري متصفّ تور (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
هذا سيظهر لك شيئا مثل:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
ملاحظة: قد يختلف الناتج الخاص بك إلى حد ما عما ورد أعلاه (على سبيل المثال، تواريخ انتهاء الصلاحية)، ولكن يجب أن ترى المفتاح المستورد بشكل صحيح.
إذا تلقيت رسالة خطأ، فقد حدث خطأ ما ولا يمكنك المتابعة حتى تكتشف سبب عدم نجاح ذلك. قد تتمكن من استيراد المفتاح باستخدام قسم الحل البديل (باستخدام مفتاح عمومي) بدلا من ذلك.
بعد استيراد المفتاح، يمكنك حفظه في ملف (عبر التعرف عليه من بصمته هنا):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
يؤدي هذا الأمر إلى حفظ المفتاح في ملف موجود في المسار ./tor.keyring، أي في المجلد الحالي.
إذا لم يكن ./tor.keyring موجودا بعد تشغيل هذا الأمر، فقد حدث خطأ ما ولا يمكنك المتابعة حتى تكتشف سبب عدم نجاح ذلك.
التحقق من التوقيع
للتحقق من توقيع الحزمة التي نزَّلتها، ستحتاج إلى أن تُنزِّل ملف التوقيع ".asc" المقابل لها، إضافة إلى ملف التثبيت نفسه، والتحقق منه بأمر يطلب من GnuPG التحقق من الملف الذي نزَّلته.
تفترض الأمثلة في الأسفل أنك نزّلت هذين الملفَين لمجلد ”التنزيلات“ الخاص بك. لاحظ أن هذه الأوامر تستخدم أمثلة لأسماء الملفات وستكون أسماء الملفات الخاصة بك مختلفة: ستحتاج إلى استبدال أسماء ملفات الأمثلة بالأسماء الدقيقة للملفات التي قمت بتنزيلها.
لمستخدمي جْنو/لينَكْسْ (غيّر x86_64 إلى i686 إذا كانت عندك حزمة لمعالج ذو 32-بِتْ):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz
يجب أن تحتوي نتيجة الأمر على:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
إذا تلقيت رسائل خطأ تحتوي على "لا يوجد مثل هذا الملف أو الدليل" (No such file or directory)، فإما أن هناك خطأ ما في إحدى الخطوات السابقة، أو نسيت أن هذه الأوامر تستخدم أسماء الملفات كأمثلة وستكون أوامرك مختلفة قليلاً.
تحديث المفتاح PGP
قم بتشغيل الأمر التالي لتحديث مفتاح توقيع تور في حلقة مفاتيحك المحلية انطلاقا من خادم المفاتيح. سيؤدي هذا أيضا إلى جلب المفاتيح الفرعية الجديدة.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
الحل البديل (باستخدام مفتاح عمومي)
إذا واجهتك أخطاء لا تستطيع حلها، يمكنك أن تجرب بدلا من ذلك تنزيل واستخدام هذا المفتاح العمومي. وفى هذه الحالة يمكنك أن تستخدم هذا الأمر:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
يوجد مفتاح مُطوِّري متصفح تور أيضا في keys.openpgp.org ويمكن تنزيله من https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. The key can also be fetched by running the following command:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
ربما تريد أيضا أن تتعلم المزيد عن GnuPG.