Tor-browser verifiëren - download bij 'Surfen zonder sporen'

Dit artikel hoort bij de workshop 'Surfen zonder sporen' over de Tor Browser, uit Computer Idee 4, jaargang 2016.



1. Allereerst is het belangrijk om te achterhalen waar het programma GnuPG precies is geïnstalleerd. Een zoekopdracht in de Verkenner kan u dat vertellen. Start de Windows Verkenner en open de map waarin het programma is geïnstalleerd. Dat is hoogstwaarschijnlijk in de map Program Files (x86). Op ons systeem is het volledige pad:



C:\Program Files (x86)\GNU\GnuPG\gpg2.exe



Deze informatie hebt u nodig om de sleutel van de Tor Browser te kunnen importeren in GnuPGP. Het team achter de Tor Browser gebruikt op het moment van schrijven de sleutel 0x4E2C6E8793298290 om het programma te ondertekenen ter verificatie. De actuele informatie is beschikbaar op de site van Tor Browser.



2. Het importeren van de Tor Browser-sleutel gaat via de opdrachtregel. Tik daarom op Start en typ cmd.exe. Druk op enter om de opdrachtregel te starten. Typ daarna in dit venster:



"C:\Program Files (x86)\GNU\GnuPG\gpg2.exe" --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290



Om te controleren of de sleutel goed is geïmporteerd, typt u de volgende opdracht in het opdrachtregel-programma:



"C:\Program Files (x86)\GNU\GnuPG\gpg2.exe" --fingerprint 0x4E2C6E8793298290



De reactie moet iets zijn als dit:



pub 4096R/93298290 2014-12-15 [expires: 2020-08-24]

Key fingerprint = EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290

uid [ unknown] Tor Browser Developers (signing key)

sub 4096R/F65C2036 2014-12-15 [expires: 2017-08-25]

sub 4096R/D40814E0 2014-12-15 [expires: 2017-08-25]



Nu u de sleutel hebt toegevoegd, gaan we de signature van de Tor Browser controleren. Zorg ervoor dat het signature-bestand, met de extesnie .asc klaar staat. Als deze op de desktop staat, kunt u deze opdracht typen in de opdrachtregel:



"C:\Program Files (x86)\GNU\GnuPG\gpg2.exe" --verify

C:\Users\dirkj\Desktop\torbrowser-install-5.0.4_nl.exe.asc C:\Users\dirkj\Desktop\torbrowser-install-5.0.4_nl.exe



De uitkomst hiervan luidt:



gpg: Signature made 11/03/15 13:37:14 West-Europa (standaardtijd) using RSA key ID D40814E0

gpg: Good signature from "Tor Browser Developers (signing key) " [unknown]

gpg: WARNING: This key is not certified with a trusted signature!

gpg: There is no indication that the signature belongs to the owner.

Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290

Subkey fingerprint: BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E D408 14E0



Op dit moment zijn de volgende fingerprints valide:



5242 013F 02AF C851 B1C7 36B8 7017 ADCE F65C 2036

BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E D408 14E0

05FA 4425 3F6C 19A8 B7F5 18D4 2D00 0988 5898 39A3



Ziet u een van deze keys staan? Dan is de installatie in orde!



Merk op dat er naast ‘Good signature’ ook wordt vermeld dat de key niet is gecertificeerd door een trusted signature. Die waarschuwing verdwijnt als we een vertrouwensscore zouden toevoegen voor de eigenaar van deze sleutel. Strikt noodzakelijk is dit echter niet.



Lees meer in de workshop van Computer Idee 4 (jaargang 2016).