Cara memverifikasi tanda tangan Tor Browser
Tanda tangan digital adalah proses yang memastikan bahwa sebuah paket dihasilkan oleh pengembangnya dan tidak telah diubah. Di bawah ini kami menjelaskan mengapa hal ini penting dan bagaimana cara memverifikasi bahwa Tor Browser yang Anda unduh adalah yang kami buat dan belum dimodifikasi oleh penyerang.
Setiap berkas di halaman unduhan kami disertai dengan berkas berlabel "tanda tangan" dengan nama yang sama dengan paket dan tambahan ".asc". Berkas .asc ini adalah tanda tangan OpenPGP. Mereka memperbolehkan Anda untuk memverifikasi berkas yang telah diunduh adalah sama persis dengan apa yang kami ingin Anda terima. Hal ini akan bervariasi di masing-masing peramban, tapi secara umum Anda dapat mengunduh berkas ini dengan mengklik-kanan link "signture" lalu memilih "simpan berkas" sebagai opsi.
Misalnya, tor-browser-windows-x86_64-portable-13.0.1.exe disertai dengan tor-browser-windows-x86_64-portable-13.0.1.exe.asc. Ini adalah contoh nama berkas dan tidak akan sama persis dengan nama berkas yang Anda unduh.
Harap perhatikan bahwa tanda tangan diberi tanggal saat paket telah ditandatangani. Oleh karena itu setiap kali berkas baru diunggah, tanda tangan baru dibuat dengan tanggal yang berbeda. Selama Anda telah memverifikasi tanda tangan, Anda tidak perlu khawatir bahwa tanggal yang dilaporkan mungkin berbeda.
Menginstal GnuPG
Pertama-tama Anda harus memasang GnuPG sebelum Anda dapat memverifikasi tanda tangan. Jika Anda menggunakan Windows, unduh Gpg4win dan jalankan pemasangnya. Untuk memverifikasi tanda tangan, Anda perlu mengetik beberapa perintah di baris perintah windows, cmd.exe.
Mengambil kunci Pengembang Tor
Tim Tor Browser menandatangani rilis Tor Browser. Impor kunci penandatanganan Pengembang Browser Tor (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Ini akan menunjukkan kepada Anda sesuatu seperti:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
CATATAN: Output Anda mungkin agak menyimpang dari yang di atas (mis. tanggal kedaluwarsa), namun Anda akan melihat kunci diimpor dengan benar.
Jika Anda mendapatkan pesan galat, ini artinya terjadi suatu masalah dan Anda tidak dapat melanjutkan sampai Anda mengetahui mengapa ini tidak berhasil. Anda mungkin dapat mengimpor kunci menggunakan bagian Solusi (menggunakan kunci publik) sebagai gantinya.
Setelah mengimpor kunci, Anda dapat menyimpannya ke berkas (mengidentifikasi dengan sidik jari di sini):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Perintah ini menghasilkan kunci yang disimpan ke berkas yang ditemukan di jalur ./tor.keyring, yaitu di direktori saat ini. Jika ./tor.keyring tidak ada setelah menjalankan perintah ini, ada yang salah dan Anda tidak dapat melanjutkan sampai Anda mengetahui mengapa ini tidak berhasil.
Memverifikasi tanda tangan
Untuk memverifikasi tanda tangan paket yang Anda unduh, Anda perlu mengunduh berkas tanda tangan ".asc" yang sesuai serta berkas pemasang itu sendiri, dan memverifikasinya dengan perintah yang meminta GnuPG untuk memverifikasi berkas yang Anda unduh.
Contoh di bawah ini mengasumsikan bahwa Anda mengunduh dua berkas ini ke folder "Unduhan". Perhatikan bahwa perintah-perintah ini menggunakan nama berkas contoh dan nama berkas Anda akan berbeda: Anda perlu mengganti nama berkas contoh dengan nama berkas yang telah Anda unduh.
Untuk pengguna GNU/Linux (ubah x86_64 menjadi i686 jika Anda memiliki paket 32-bit):
gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe
Hasil perintah seharusnya berisi:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Jika Anda mendapatkan galat kesalahan yang berisi 'Tidak ada berkas atau direktori seperti itu', kemungkian ada yang salah dengan salah satu langkah sebelumnya, atau Anda lupa bahwa perintah ini menggunakan contoh nama berkas dan milik Anda akan sedikit berbeda.
Memperbarui kunci PGP
Jalankan perintah berikut untuk menyegarkan kunci penandatanganan Tor Browser Pengembang di kunci lokal anda dari server kunci. Perintah ini juga akan mengambil subkunci baru.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Workaround (menggunakan kunci publik)
Jika Anda menemukan kesalahan yang tidak dapat Anda perbaiki, silakan unduh dan gunakan kunci publik ini sebagai gantinya. Atau, Anda dapat menggunakan perintah berikut:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Kunci Tor Browser Developer juga tersedia di keys.openpgp.org dan dapat diunduh melalui https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Anda mungkin juga ingin mempelajari lebih lanjut tentang GnuPG.
Setiap berkas di halaman unduhan kami disertai dengan berkas berlabel "tanda tangan" dengan nama yang sama dengan paket dan tambahan ".asc". Berkas .asc ini adalah tanda tangan OpenPGP. Mereka memperbolehkan Anda untuk memverifikasi berkas yang telah diunduh adalah sama persis dengan apa yang kami ingin Anda terima. Hal ini akan bervariasi di masing-masing peramban, tapi secara umum Anda dapat mengunduh berkas ini dengan mengklik-kanan link "signture" lalu memilih "simpan berkas" sebagai opsi.
Misalnya, tor-browser-macos-14.5.6.dmg disertai dengan tor-browser-macos-14.5.6.dmg.asc. Ini adalah contoh nama berkas dan tidak akan sama persis dengan nama berkas yang Anda unduh.
Harap perhatikan bahwa tanda tangan diberi tanggal saat paket telah ditandatangani. Oleh karena itu setiap kali berkas baru diunggah, tanda tangan baru dibuat dengan tanggal yang berbeda. Selama Anda telah memverifikasi tanda tangan, Anda tidak perlu khawatir bahwa tanggal yang dilaporkan mungkin berbeda.
Menginstal GnuPG
Pertama-tama Anda harus memasang GnuPG sebelum Anda dapat memverifikasi tanda tangan. Jika Anda menggunakan macOS, Anda dapat memasang GPGTools.
Untuk memverifikasi tanda tangan, Anda perlu mengetikkan beberapa perintah di Terminal (di bawah "Aplikasi").
Mengambil kunci Pengembang Tor
Tim Tor Browser menandatangani rilis Tor Browser. Impor kunci penandatanganan Pengembang Browser Tor (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Ini akan menunjukkan kepada Anda sesuatu seperti:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
CATATAN: Output Anda mungkin agak menyimpang dari yang di atas (mis. tanggal kedaluwarsa), namun Anda akan melihat kunci diimpor dengan benar.
Jika Anda mendapatkan pesan galat, ini artinya terjadi suatu masalah dan Anda tidak dapat melanjutkan sampai Anda mengetahui mengapa ini tidak berhasil. Anda mungkin dapat mengimpor kunci menggunakan bagian Solusi (menggunakan kunci publik) sebagai gantinya.
Setelah mengimpor kunci, Anda dapat menyimpannya ke berkas (mengidentifikasi dengan sidik jari di sini):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Perintah ini menghasilkan kunci yang disimpan ke berkas yang ditemukan di jalur ./tor.keyring, yaitu di direktori saat ini. Jika ./tor.keyring tidak ada setelah menjalankan perintah ini, ada yang salah dan Anda tidak dapat melanjutkan sampai Anda mengetahui mengapa ini tidak berhasil.
Memverifikasi tanda tangan
Untuk memverifikasi tanda tangan paket yang Anda unduh, Anda perlu mengunduh berkas tanda tangan ".asc" yang sesuai serta berkas pemasang itu sendiri, dan memverifikasinya dengan perintah yang meminta GnuPG untuk memverifikasi berkas yang Anda unduh.
Contoh di bawah ini mengasumsikan bahwa Anda mengunduh dua berkas ini ke folder "Unduhan". Perhatikan bahwa perintah-perintah ini menggunakan nama berkas contoh dan nama berkas Anda akan berbeda: Anda perlu mengganti nama berkas contoh dengan nama berkas yang telah Anda unduh.
Untuk pengguna macOS:
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg
Hasil perintah seharusnya berisi:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Jika Anda mendapatkan galat kesalahan yang berisi 'Tidak ada berkas atau direktori seperti itu', kemungkian ada yang salah dengan salah satu langkah sebelumnya, atau Anda lupa bahwa perintah ini menggunakan contoh nama berkas dan milik Anda akan sedikit berbeda.
Workaround (menggunakan kunci publik)
Jika Anda menemukan kesalahan yang tidak dapat Anda perbaiki, silakan unduh dan gunakan kunci publik ini sebagai gantinya. Atau, Anda dapat menggunakan perintah berikut:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Kunci Tor Browser Developer juga tersedia di keys.openpgp.org dan dapat diunduh melalui https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Kunci juga dapat diambil dengan menjalankan perintah berikut:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Anda mungkin juga ingin mempelajari lebih lanjut tentang GnuPG.
Setiap berkas di halaman unduhan kami disertai dengan berkas berlabel "tanda tangan" dengan nama yang sama dengan paket dan tambahan ".asc". Berkas .asc ini adalah tanda tangan OpenPGP. Mereka memperbolehkan Anda untuk memverifikasi berkas yang telah diunduh adalah sama persis dengan apa yang kami ingin Anda terima. Hal ini akan bervariasi di masing-masing peramban, tapi secara umum Anda dapat mengunduh berkas ini dengan mengklik-kanan link "signture" lalu memilih "simpan berkas" sebagai opsi.
Misalnya, tor-browser-linux-x86_64-14.5.6.tar.xz disertai dengan tor-browser-linux-x86_64-14.5.6.tar.xz.asc. Ini adalah contoh nama berkas dan tidak akan sama persis dengan nama berkas yang Anda unduh.
Harap perhatikan bahwa tanda tangan diberi tanggal saat paket telah ditandatangani. Oleh karena itu setiap kali berkas baru diunggah, tanda tangan baru dibuat dengan tanggal yang berbeda. Selama Anda telah memverifikasi tanda tangan, Anda tidak perlu khawatir bahwa tanggal yang dilaporkan mungkin berbeda.
Menginstal GnuPG
Jika Anda menggunakan GNU/Linux, maka Anda mungkin sudah memiliki GnuPG di sistem Anda, karena sebagian besar distribusi GNU/Linux sudah dipasang sebelumnya.
Untuk memverifikasi tanda tangan, Anda perlu mengetikkan beberapa perintah di jendela terminal. Cara melakukannya akan bervariasi tergantung pada distribusi sistem operasi yang Anda gunakan.
Mengambil kunci Pengembang Tor
Tim Tor Browser menandatangani rilis Tor Browser. Impor kunci penandatanganan Pengembang Browser Tor (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Ini akan menunjukkan kepada Anda sesuatu seperti:
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
CATATAN: Output Anda mungkin agak menyimpang dari yang di atas (mis. tanggal kedaluwarsa), namun Anda akan melihat kunci diimpor dengan benar.
Jika Anda mendapatkan pesan galat, ini artinya terjadi suatu masalah dan Anda tidak dapat melanjutkan sampai Anda mengetahui mengapa ini tidak berhasil. Anda mungkin dapat mengimpor kunci menggunakan bagian Solusi (menggunakan kunci publik) sebagai gantinya.
Setelah mengimpor kunci, Anda dapat menyimpannya ke berkas (mengidentifikasi dengan sidik jari di sini):
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Perintah ini menghasilkan kunci yang disimpan ke berkas yang ditemukan di jalur ./tor.keyring, yaitu di direktori saat ini. Jika ./tor.keyring tidak ada setelah menjalankan perintah ini, ada yang salah dan Anda tidak dapat melanjutkan sampai Anda mengetahui mengapa ini tidak berhasil.
Memverifikasi tanda tangan
Untuk memverifikasi tanda tangan paket yang Anda unduh, Anda perlu mengunduh berkas tanda tangan ".asc" yang sesuai serta berkas pemasang itu sendiri, dan memverifikasinya dengan perintah yang meminta GnuPG untuk memverifikasi berkas yang Anda unduh.
Contoh di bawah ini mengasumsikan bahwa Anda mengunduh dua berkas ini ke folder "Unduhan". Perhatikan bahwa perintah-perintah ini menggunakan nama berkas contoh dan nama berkas Anda akan berbeda: Anda perlu mengganti nama berkas contoh dengan nama berkas yang telah Anda unduh.
Untuk pengguna GNU/Linux (ubah x86_64 menjadi i686 jika Anda memiliki paket 32-bit):
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz
Hasil perintah seharusnya berisi:
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"
Jika Anda mendapatkan galat kesalahan yang berisi 'Tidak ada berkas atau direktori seperti itu', kemungkian ada yang salah dengan salah satu langkah sebelumnya, atau Anda lupa bahwa perintah ini menggunakan contoh nama berkas dan milik Anda akan sedikit berbeda.
Memperbarui kunci PGP
Jalankan perintah berikut untuk menyegarkan kunci penandatanganan Tor Browser Pengembang di kunci lokal anda dari server kunci. Perintah ini juga akan mengambil subkunci baru.
gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Workaround (menggunakan kunci publik)
Jika Anda menemukan kesalahan yang tidak dapat Anda perbaiki, silakan unduh dan gunakan kunci publik ini sebagai gantinya. Atau, Anda dapat menggunakan perintah berikut:
curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
Kunci Tor Browser Developer juga tersedia di keys.openpgp.org dan dapat diunduh melalui https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Kunci juga dapat diambil dengan menjalankan perintah berikut:
gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
Anda mungkin juga ingin mempelajari lebih lanjut tentang GnuPG.