О браузере Тор и проверке его подписи

О браузере Тор и проверке его подписи
Автор
Сообщение
marsdmitri
#35970 2020-01-31 15:08 GMT

 браузер Тор,  блокирует ненужную рекламу иностранцев. Как и браузер Vivaldi, но он представляет большую безопасность, если вы скачаете ту версию, которая дана на их сайте. У нас в Канаде широко распространено жульничество, идет подмена сайтов, веб страниц, программ на фальшивые, кража паролей и  т.д… Поэтому обязательно  научитесь проверять подлинность скаченной программы. Затем только ее устанавливайте!!!!!

Xакеры и гангстеры и програмиисты, которые на них работают, научились подделывать программы, взламывать их и менять. Уних есть свои сервера, через которые проходят ваши сообщения. Нацистов, которые ненавидят российскую цивилизацию полно на сайте forum.canada.ru.

По анализу американцев, над недавним взломом программы, которая была установлена в США и управляла информацией о зарплате в США трудилось около 1000 хакеров!  Т.е. хакерство стало отдельной индустрией сейчас, так же как и кража биткоинов. Это наверное делали северокорейцы или китайцы.

Браузер представляет собой архив tor-browser-linux64-10.0.12_en-US.tar.xz, который скачивается с сайта:   https://www.torproject.org/download/

Если вы не видите ссылки, то нажмите правую кнопку мыши и кликните на веб страницу. Там есть команда (Просмотр кода страницы). Войдя в этот режим  просмотра вы можете скопировать ссылки, которые я даю.

1. после скачивания нужно проверить подпись архива, что вы скачали непроврежденный архив.

Об этом написано по русски 
https://support.torproject.org/ru/tbb/how-to-verify-signature/   https://support.torproject.org/tbb/how-to-verify-signature/  (по английски)

I. действия на Линуксе Ubinty русскoй версии.

Архив tor-browser-linux64-9.0.4_en-US.tar.xz скачен в каталог /Загрузки
Кроме архива я скачал в каталог /Загрузки фаил подписи архива с расширением tor-browser-linux64-9.0.4_en-US.tar.xz.asc

Это файл публичный ключ, принадлежащий подписавшему.

<code>----BEGIN PGP SIGNATURE-----
..
-----END PGP SIGNATURE-</code>

1.1 B каталогe /Загрузки даю команду импорта ключа c  сайта torproject.org

$ gpg --auto-key-locate nodefault,wkd --locate-keys [email protected]
gpg: ключ 4E2C6E8793298290: «Tor Browser Developers (signing key) <[email protected]>» не изменен
gpg: Всего обработано: 1
gpg:              неизмененных: 1
pub   rsa4096 2014-12-15 [C] [годен до: 2020-08-24]
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid         [ неизвестно ] Tor Browser Developers (signing key) <[email protected]>
sub   rsa4096 2018-05-26 [S] [годен до: 2020-09-12]

1.2 даю команду импорта ключа  в файл tor.keyring в каталогe /Загрузки

$ gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

1.3  Команда проверки  скаченного ключа с размером фаила архива

$ gpgv --keyring ./tor.keyring ~/Загрузки/tor-browser-linux64-9.0.4_en-US.tar.xz.asc ~/Загрузки/tor-browser-linux64-9.0.4_en-US.tar.xz
gpgv: Подпись сделана Thu 09 Jan 2020 11:09:44 PM MSK
gpgv:                ключом RSA с идентификатором EB774491D9FF06E2
gpgv: Действительная подпись пользователя «Tor Browser Developers (signing key) <[email protected]
$

Операция проверки архива закончена.

1.4 Пример неправильных команд, если я специально что-то пропустил.

$ gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-9.0.4_en-US.tar.xz
gpgv: не могу открыть '/home/d7/Downloads/tor-browser-linux64-9.0.4_en-US.tar.xz': Нет такого файла или каталога
gpgv: verify signatures failed: Нет такого файла или каталога


$ gpgv --keyring ./tor.keyring ~/Загрузки/tor-browser-linux64-9.0.4_en-US.tar.xz.asc
gpgv: нет подписанных данных
gpgv: can't hash datafile: Нет данных

2. После распаковки папки  можно сразу пользоваться Браузер Top, нажав на ярлычок запуска (который указывает на файл скрипта старт.) без установок.

Папку  браузера надо не устанавливать на рабочий стол, а в какую-то специальную папку.
Операция проверки архива закончена. 
3. Hадо задать право запускать фаил скрипта как программу. И пометить, что нельзя его изменять. 
Это портативная версия.

Браузер Top сразу говорит, что сайт sfiz.ru опасен. Могут похитить пароли.

Если что не понятно, пишите вопросы.

4. На виндоуз программы   gpgv нет. Ее надо устанавливать дополнительно.

$ sudo apt install gpgv 

5. Если вдруг в Linux у вас не получается скачать фаил с ключом, тогда скачайте его дубликат с саита:

https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf

Затем установите на компьютер программу командой

$ sudo apt install curl

И используйте алтернативный импорт ключа в вашу базу данных.

$curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Ho Команда проверки  скаченного ключа с размером фаила архива

$ gpgv --keyring ./tor.keyring ~/Загрузки/kounek7zrdx745qydx6p59t9mqjpuhdf ~/Загрузки/tor-browser-linux64-9.0.4_en-US.tar.xz

$ gpgv --keyring ./tor.keyring ~/Загрузки/kounek7zrdx745qydx6p59t9mqjpuhdf ~/Загрузки/tor-browser-linux64-9.0.4_en-US.tar.xz
gpgv: verify signatures failed: Неожиданная ошибка

Т.е. после скачивания этого фаила, надо задать расширение файла и дать команду на импорт ключа.
И затем дать эту командy проверки.

Т.е. всегда должно быть 3 команды.

-Скачивание файла ключа публичного под тем или иным файлом. Скачивание архива с браузером.
-Импорт скаченного публичного ключа в ваши базы данных на вашем компьютере.
-Задание команды проверки. Надо указывать 3 параметра. И  правильно директорию, где находится архив и файл  скаченного публичного ключа.

6. Для пользователей Виндоуз Windows Команда проверки  скаченного ключа с размером фаила архива:

>gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-9.0_en-US.exe.asc Downloads\torbrowser-install-win64-9.0_en-US.exe

Читайте инструкции man gpgv. https://www.gnupg.org/documentation/

Bac интересуют --verify и --keyring. для проверки удобнее использовать gpgv, у которого ман намного короче gpg2.

II. Операция проверки в Scientific Linux 7.9 ( или операц система CentOS 7, Redhat 7.9).

-Скачиваем программу Тор и ключ. Мышкой кликаем на ссылку (правая кнопка нажата). Сохранить как. Ничего не меняйте в именах.

Файлы должны сами загрузиться точно по своими  именами.

tor-browser-linux64-10.0.12_ru.tar.xz

tor-browser-linux64-10.0.12_ru.tar.xz.asc

Ради интереса я определил Md5 и sha1 хэш суммы этих файлов. Укаждого файла он свой.

>md5sum tor-browser-linux64-10.0.12_ru.tar.xz.asc (25fc2a491ff4e891a047ccae8200e3b7)

>md5sum  tor-browser-linux64-10.0.12_ru.tar.xz  (6e79f8a6a68547f03ba484d8b2747252 )

>sha1sum tor-browser-linux64-10.0.12_ru.tar.xz.asc (fb6c8af2228f7238dc8cddbaf4160ede4fec7261)

>sha1sum  tor-browser-linux64-10.0.12_ru.tar.xz (420bc3e8f9b04cf79c2c2c8aae4ea47157762397)

-Импорт скаченного публичного ключа в ваши базы данных на вашем компьютере.

Cледующая команда не работает. Не позволяет скачать публичный ключ.

> gpg --auto-key-locate nodefault,wkd --locate-keys [email protected]

>gpg: invalid auto-key-locate list

Импортировать ключ нужно способом, описанным в разделе Альтернативный вариант (с использованием открытого ключа).

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

вижу вывод на экране

gpg: key 93298290: «Tor Browser Developers (signing key) <[email protected]>» not changed
gpg: Total number processed: 1
gpg:              unchanged: 1
[d2@localhost Downloads]$ 

У меня уже был ключ. После того, как ключ импортирован,  сохраните его в файл (для идентификации служит отпечаток) командой:

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Введите ее. Увидите

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
File `./tor.keyring' exists. Overwrite? (y/N) y

Она спрашивает. Перезаписать? Я ввожу y. Она перезаписыавает какой-то старый ключ.
В результате ключ будет сохранён в файле в папке ./tor.keyring, то есть, в текущей папке. Если после выполнения этой команды не появится ./tor.keyring, значит, что-то пошло не так. Не  продолжайте, пока не выясните причину.

--Проверка подписи

Для проверки подписи для пакета с помощью GnuPG, нужно скачать также прилагаемый .asc-файл с подписью.

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-10.0.12_ru.tar.xz.asc ~/Downloads/tor-browser-linux64-10.0.12_ru.tar.xz
gpgv: Signature made Sun 21 Feb 2021 02:57:12 PM EST using RSA key ID D9FF06E2
gpgv: Good signature from «Tor Browser Developers (signing key) <[email protected]
Все. Проверка прошла успешно.

Но когда я пользовался программой, то обнаружил, что заменяются файлы браузера, который я скачал. Моэжет после обновления.Поэтому после одного использования, я удаляю папку с программой и снова ее распаковываю и запускаю.

Программу не обновляю автоматически из интернета. Обновление скачиваю с сайта сам в виде новой версии программы.Потом ее проверяю. Не доверяю автоматическому обновлению.Потому что после обновления программа начинает себя странно вести. Медленно работать, зависать. Может это только у меня так.

Если есть вопросы, спрашивайте.


отредактировал(а) marsdmitri: 2021-02-27 22:31 GMT
marsdmitri
#41382 2021-02-27 22:23 GMT

Чтобы автоматизировать проверку cкаченной программы по открытому ключу

скопируйте в текстовый файл строки

-----------------------

md5sum tor-browser-linux64-10.0.12_ru.tar.xz.asc
md5sum  tor-browser-linux64-10.0.12_ru.tar.xz  
sha1sum tor-browser-linux64-10.0.12_ru.tar.xz.asc
sha1sum  tor-browser-linux64-10.0.12_ru.tar.xz 

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-10.0.12_ru.tar.xz.asc ~/Downloads/tor-browser-linux64-10.0.12_ru.tar.xz
-------------------------------

Сохраните все в текстовом файл, например proverka.

Защитите его от изменений и сделайте исполняемым.

Запустите командой ./proverka

Вы должны получить на экране примерно такое.

$ ./proverka
25fc2a491ff4e891a047ccae8200e3b7  tor-browser-linux64-10.0.12_ru.tar.xz.asc 
6e79f8a6a68547f03ba484d8b2747252  tor-browser-linux64-10.0.12_ru.tar.xz
fb6c8af2228f7238dc8cddbaf4160ede4fec7261  tor-browser-linux64-10.0.12_ru.tar.xz.asc
420bc3e8f9b04cf79c2c2c8aae4ea47157762397  tor-browser-linux64-10.0.12_ru.tar.xz
gpg: key 93298290: «Tor Browser Developers (signing key) <[email protected]>» not changed
gpg: Total number processed: 1
gpg:              unchanged: 1
File `./tor.keyring' exists. Overwrite? (y/N) y
gpgv: Signature made Sun 21 Feb 2021 02:57:12 PM EST using RSA key ID D9FF06E2
gpgv: Good signature from «Tor Browser Developers (signing key) <[email protected]
 
Проверка на Линуксе закончена.


отредактировал(а) marsdmitri: 2021-02-27 23:18 GMT