Verifizieren des Tor-Browser-Bundles

In diesem Artikel soll es darum gehen, wie du prüfen kannst ob du auch wirklich das originale Tor-Browser-Bundle heruntergeladen hast.

screenshot
screenshot

Diese Kurzbeschreibung funktioniert unten den zwei Bedinungen, a) du nutzt Linux und b) du hast schon mal mit GnuPG gearbeitet. Die Original Hilfe-Seite findest du hier.

Schritt 1

Der erste Schritt ist den öffentlichen Schlüssel der Tor-Entwickler zu importieren. Die Key_ID lautet: 0x4E2C6E8793298290.

Öffne dazu eine Kommandokonsole und gebe folged ein:

gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Nach dem importieren des öffentlichen Schlüssels solltest du prüfen ob du auch wirklich den richtigen öffentlichen Schlüssel herunter geladen hast und den Fingerprint vergleichen. Gebe dazu folgendes ein:

gpg --fingerprint 0x4E2C6E8793298290

Du solltest nun folgendes sehen:

pub 4096R/93298290 2014-12-15
Key fingerprint = EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
uid Tor Browser Developers (signing key)
sub 4096R/F65C2036 2014-12-15
sub 4096R/D40814E0 2014-12-15
sub 4096R/589839A3 2014-12-15

Ist es genau der gleich Key fingerprint wie auf der Tor-Webseite verzeichnete?

Wenn JA hast du Schritt 1 erfolgreich hinter dich gebracht.

Schritt 2

Lade dir das Tor-Packet UND die Signatur (sig) (rechte Maustaste speichern unter…) in das gleiche Verzeichniss herunter.

Wechsel in der Kommandokonsole in das Verzeichnis wo die beiden Datein liegen.

Strukturell sieht das verfahren eine Signatur zu prüfen so aus:
gpg2 --verify SIGNATUR.asc DATEI

In unserem praktischen z.B so:
alice@zeus ~/Downloads:$ gpg2 --verify tor-browser-linux32-5.0.4_de.tar.xz.asc tor-browser-linux32-5.0.4_de.tar.xz

Wenn nach dem du Enter gedrückt hast das rauskommt „Korrekte Signatur“…:

gpg: Signatur vom Di 03 Nov 2015 13:46:07 CET mittels RSA-Schlüssel ID D40814E0
gpg: Korrekte Signatur von "Tor Browser Developers (signing key) "
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
Unter-Fingerabdruck = BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E D408 14E0

… scheint es so als ob du ein unverfälschtes Tor-Browser-Bundle heruntergeladen hast.

Derzeit zulässige Unterschlüssel-Fingerprints sind:

5242 013F 02AF C851 B1C7 36B8 7017 ADCE F65C 2036
BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E D408 14E0
05FA 4425 3F6C 19A8 B7F5 18D4 2D00 0988 5898 39A3