La firma digital es un proceso que asegura que un paquete fue generado por sus desarrolladores y no ha sido alterado. Debajo explicamos por qué es importante y cómo verificar que el Navegador Tor que descargas es el que hemos creado y no ha sido modificado por algún atacante.

Cada archivo en nuestra página de descarga está acompañado por un archivo con el mismo nombre que el paquete y la extensión ".asc". Estos archivos .asc son firmas OpenPGP. Te permiten verificar que el archivo que has descargado es exactamente el que intentamos que obtengas. Esto va a variar para cada navegador web, pero, generalmente, puedes descargar este archivo haciendo clic derecho en el vínculo "firma" y seleccionando la opción "guardar archivo como".

Por ejemplo,torbrowser-install-win64-12.5_ALL.exeva acompañado detorbrowser-install-win64-12.5_ALL.exe.asc. Estos son nombres de archivos de ejemplo y no coincidirán exactamente con los nombres de los archivos que descargues.

Ahora mostramos cómo puedes verificar la firma digital de los archivos descargados en diferentes sistemas operativos. Por favor ten en cuenta que una firma es fechada en el momento en que el paquete ha sido firmado. Por lo tanto, cada vez que se sube un archivo nuevo, se genera una nueva firma con una fecha distinta. En la medida en que hayas verificado la firma, no deberías preocuparte si la fecha reportada varía con la del ejemplo.

Instalar GnuPG

En primer lugar, necesitas tener GnuPG instalado antes de verificar firmas.

Para usuarios de Windows:

Si usas Windows, descarga Gpg4win y ejecuta el instalador.

A fin de verificar la firma, necesitarás escribir unos pocos comandos en la utilidad de línea de comandos de Windows, cmd.exe.

Para usuarios macOS:

Si estás usando macOS, puedes instalar GPGTools.

Para comprobar la validez de la firma digital, debes escribir unos cuantos comandos en el Terminal (está en "Aplicaciones").

Para usuarios GNU/Linux:

Si usas GNU/Linux, probablemente ya tengas instalado GnuPG, la mayoría de distribuciones lo incluyen.

Para comprobar la validez de la firma digital, debes escribir unos cuantos comandos en una ventana de terminal. Cómo hacerlo exactamente, varía dependiendo de qué distribución uses.

Obteniendo la clave de los desarrolladores de Tor

El equipo del Navegador Tor firma los lanzamientos del mismo. Importa la clave de firma de los desarrolladores de Tor (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Esto debería de mostrar algo parecido a:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
pub   rsa4096 2014-12-15 [C] [expires: 2025-07-21]
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub   rsa4096 2018-05-26 [S] [expires: 2020-12-19]

Si te aparece un mensaje de error, algo ha salido mal y no puedes continuar hasta que hayas averiguado por qué no funcionó esto. Tal vez puedas importar la clave usando la sección Solución alternativa (usar una clave pública).

Después de importar la clave, puedes guardarla en un archivo (identificado aquí por su huella digital):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Este comando tiene como resultado que la clave sea guardada a un archivo que se encuentra en la ruta ./tor.keyring, por ejemplo, en la carpeta actual. Si ./tor.keyring no existe después de ejecutar este comando, algo ha salido mal y no puedes continuar hasta que hayas averiguado por qué no funcionó esto.

Comprobar la firma

Para comprobar la firma digital del paquete que has descargado, tienes que descargar el archivo ".asc" correspondiente, además del instalador propiamente dicho, y verificarla con un comando que usa GnuPG para ello.

Los siguientes ejemplos asumen que has descargado estos dos archivos en la carpeta "Descargas". Ten en cuenta que estos comandos usan nombres de archivos de ejemplo y los tuyos serán diferentes: habrás de descargar una versión diferente de la 9.0, y puede que no hayas elegido la versión en Inglés (en-US).

Para usuarios de Windows:

gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-12.5_ALL.exe.asc Downloads\torbrowser-install-win64-12.5_ALL.exe

Para usuarios macOS:

gpgv --keyring ./tor.keyring ~/Downloads/TorBrowser-12.5-macos_ALL.dmg.asc ~/Downloads/TorBrowser-12.5-macos_ALL.dmg.dmg

Para usuarios GNU/Linux (cambiar 64 a 32 si tienes el paquete de 32-bit):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-12.5_ALL.tar.xz.asc ~/Downloads/tor-browser-linux64-12.0.7_ALL.tar.xz

El resultado del comando debe contener:

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

Si te aparecen mensajes de error conteniendo 'No existe el archivo o directorio', o bien aldo salió mal con uno de los pasos previos, u olvidaste que estos comandos usan nombres de archivos de ejemplo, y los tuyos serán un poco diferentes.

Actualizar la clave PGP

Ejecuta este comando para actualizar la clave de inicio de sesión de desarrollador del Navegador Tor en tu juego de llaves desde el servidor de claves. Esto también buscará las nuevas subclaves.

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Método alternativo (usando una clave pública)

Si encuentras errores que no puedes solucionar, sientete libre de descargar y usar esta clave pública. Alternativamete, puedes usar el siguiente comando:

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

La clave de los Desarrolladores del Navegador Tor también está disponible en keys.openpgp.org, y puede ser descargada de https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Si estás usando MacOS o GNU/Linux, la clave también puede ser obtenida ejecutando el siguiente comando:

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Es posible que quieras saber más sobre GnuPG.