Eu queria tentar usar o TOR na minha nova instalação do Linux Mint 18.1. Então, eu apt-get install ed torbrowser-launcher e tor , então corri torbrowser-launcher . Ele abriu uma caixa de diálogo e me mostrou que estava baixando o navegador TOR; mas quando foi feito, ele disse que tinha falhado na verificação da assinatura e que eu posso estar "sob ataque" (oh meu!).
Agora, é bem improvável que eu esteja sob algum ataque pessoal (eu não sou importante o suficiente para isso), então eu estou supondo que seja algum problema técnico, ou, o que seria possível, embora muito menos provável, ataque man-in-the-middle cobrindo meu ISP ao invés de mim mesmo individualmente, vigilância nefasta do governo ou não.
Como posso saber? O que devo fazer?
Aliás, os URLs baixados são:
Existe um relatório de questões sobre este assunto no GitHub .
Uma solução relatada lá, que funciona para alguns sistemas, se não todos, é executada:
gpg --homedir "$HOME/.local/share/torbrowser/gnupg_homedir/" --refresh-keys --keyserver pgp.mit.edu
antes de torbrowser-launcher . Então funciona. É bem possível que o que Kusalananda sugeriu também funcionasse, mas não posso verificar isso a menos que eu desfaça a atualização da chave.
Quando eu baixar a assinatura e o arquivo compactado, busque a chave em um servidor de chaves e verifique a assinatura:
$ gpg2 --recv-key D1483FA6C3C07136
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: marginals needed: 3 completes needed: 1 trust model: pgp
gpg: depth: 0 valid: 2 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: Total number processed: 1
gpg: imported: 1
$ gpg2 --verify tor-browser-linux64-6.5_en-US.tar.xz.asc
gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg: using RSA key D1483FA6C3C07136
gpg: Good signature from "Tor Browser Developers (signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
Subkey fingerprint: A430 0A6B C93C 0877 A445 1486 D148 3FA6 C3C0 7136
Então, a assinatura é boa. Sugiro que você tente novamente ou investigue se esse é o mesmo problema relatado no rastreador de problemas do Tor Browser ( issue 263 ).
Como eu sabia qual chave verificar com?
Primeiramente, executei a verificação sem buscar nenhuma chave e recebi:
gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg: using RSA key D1483FA6C3C07136
gpg: Can't check signature: No public key
Em seguida, verifiquei D1483FA6C3C07136 em relação aos IDs de chave listados no site do projeto Tor e descobri que era realmente a chave correta: link
Creio que é o mais perto possível de saber que o arquivo não foi adulterado sem encontrar os desenvolvedores cara a cara e tê-los pessoalmente me entregando um pendrive com o software.