Verificación da sinatura de Tor Browser (.asc)
Obxectivo
Aprender a verificar a sinatura GPG dun ficheiro descargado (Tor Browser) para garantir que non foi manipulado e provén do Proxecto Tor oficial.
1. Descarga dos ficheiros
Dende a páxina oficial https://www.torproject.org/download/, descarga:
- O arquivo tar.xz para Linux, por exemplo: tor-browser-linux-x86_64-14.5.8.tar.xz
- O arquivo signature para Linux, por exemplo: tor-browser-linux-x86_64-14.5.8.tar.xz.asc
Ambos deben estar no mesmo cartafol (por exemplo, ~/Descargas).
2. Importar a chave pública do proxecto Tor
A chave usada polos desenvolvedores para asinar Tor Browser é:
Importa a chave desde un servidor confiable:
Verifica que se importou correctamente:
Deberías ver algo como:
3. Verificar a sinatura do ficheiro
Accede ao directorio de descargas e executa:
cd ~/Descargas
gpg --verify tor-browser-linux-x86_64-14.5.8.tar.xz.asc tor-browser-linux-x86_64-14.5.8.tar.xz
4. Interpretación do resultado
Se todo é correcto, deberías ver:
gpg: Signature made Fri 18 Oct 2024 05:12:30 PM UTC
gpg: using RSA key EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
gpg: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
Isto significa que a sinatura é válida
A mensaxe Good signature from Tor Browser Developers indica que o ficheiro é auténtico.
O aviso sobre “trusted signature” só significa que aínda non marcaches a chave como confiable.
5. (Opcional) Marcar a chave como confiable
Para evitar o aviso nas seguintes verificacións:
gpg --edit-key 0x93298290
trust
# escolle 5 (ultimate) e confirma
quit
gpg --verify tor-browser-linux-x86_64-14.5.8.tar.xz.asc tor-browser-linux-x86_64-14.5.8.tar.xz
Se aparece “BAD signature” isto significa que:
- O ficheiro foi modificado ou corrompido.
- Non corresponde coa versión asinada polo proxecto.
Solución → elimina e descarga de novo dende a web oficial: https://www.torproject.org/
Que é a chave 0x93298290
O identificador abreviado 0x93298290 é o final hexadecimal da chave pública oficial dos desenvolvedores de Tor Browser, usada para asinar as versións de Tor Browser.
O seu identificador completo é EF6E286DDA85EA2A4BA7DE684E2C6E8793298290, e o atalllo de 8 caracteres (93298290) é unha forma abreviada que GPG usa habitualmente sempre que sexa unívoco.
Para máxima seguridade e boas prácticas, usa o ID longo (16 hex) ou o fingerprint completo (40 hex) cando descargues, importes ou verifiques chaves.
6. Resumo
| Paso | Acción | Comando |
|---|---|---|
| 1 | Descargar ficheiro e sinatura .asc |
wget ... |
| 2 | Importar chave de Tor | gpg --recv-keys 0x93298290 |
| 3 | Verificar sinatura | gpg --verify file.asc file |
| 4 | Confirmar “Good signature” | — |
| 5 | (Opcional) Marcar como confiable | gpg --edit-key 0x93298290 |
Verificar a sinatura GPG dun ficheiro garante que provén do Tor Project orixinal e non foi modificado. É un paso esencial antes de instalar software de privacidade ou seguridade.