git.schokokeks.org
Repositories
Help
Report an Issue
tor-webwml.git
Code
Commits
Branches
Tags
Suche
Strukturansicht:
aa0990b8b
Branches
Tags
bridges
docs-debian
jobs
master
press-clips
tor-webwml.git
pl
verifying-signatures.wml
put the svn properties back
Roger Dingledine
commited
aa0990b8b
at 2010-08-18 22:34:20
verifying-signatures.wml
Blame
History
Raw
## translation metadata # Revision: $Revision$ # Translation-Priority: 2-medium #include "head.wmi" TITLE="Verifying Signatures" CHARSET="UTF-8" <div class="main-column"> <h2>Jak weryfikować podpisy paczek</h2> <hr /> <p>Każdemu plikowi na <a href="<page download>">naszej stronie pobierania</a> towarzyszy plik z tą samą nazwą co paczka i rozszerzeniem ".asc". Te pliki .asc to podpisy GPG. Pozwalają Ci zweryfikować, że plik, który pobrałeś/aś jest dokładnie tym, który my wystawiliśmy do pobierania. Na przykład, plikowi vidalia-bundle-0.2.1.25-0.2.7.exe towarzyszy vidalia-bundle-0.2.1.25-0.2.7.exe.asc.</p> <p>Oczywiście, musicie mieć nasze klucze GPG w swojej bazie kluczy: jeśli nie znacie klucza GPG, nie możecie być pewni, że to naprawdę my podpisujemy. Klucze używane przez nas do podpisu to:</p> <ul> <li>Rogera (0x28988BF5) zazwyczaj podpisuje plik z kodem źródłowym.</li> <li>Nicka (0x165733EA, lub jego podklucz 0x8D29319A).</li> <li>Andrzeja (0x31B0974B) zazwyczaj podpisuje paczki dla windows i mac.</li> <li>Petera (0x94C09C7F, lub jego podklucz 0xAFA44BDD).</li> <li>Matta (0x5FA14861).</li> <li>Jacoba (0x9D0FACE4).</li> <li>Erinn (0x63FEE659) i (0xF1F5C9B5) zazwyczaj podpisuje paczki dla Linuksa.</li> <li>Mike'a (0xDDC6C0AD) podpisuje xpi Torbuttona.</li> </ul> <h3>Krok zero: Instalacja GnuPG</h3> <hr /> <p>Musisz mieć zainstalowane GnuPG, zanim będziesz mógł/mogła weryfikować podpisy.</p> <ul> <li>Linux: wejdź na <a href="http://www.gnupg.org/download/">http://www.gnupg.org/download/</a> lub zainstaluj <i>gnupg</i> z systemu zarządzania pakietami.</li> <li>Windows: wejdź na <a href="http://www.gnupg.org/download/">http://www.gnupg.org/download/</a>. Szukaj "version compiled for MS-Windows" ("wersja skompilowana dla MS-Windows") pod "Binaries" ("Binaria").</li> <li>Mac: wejdź na <a href="http://macgpg.sourceforge.net/">http://macgpg.sourceforge.net/</a>.</li> </ul> <h3>Krok pierwszy: Import kluczy</h3> <hr /> <p>Kolejnym krokiem jest import klucza. Można to zrobić bezpośrednio z GnuPG. Upewnij się, że importujesz właściwy klucz. Na przykład, jeśli pobrałeś/aś paczkę dla Windows, musisz zaimportować klucz Andrzeja.</p> <p><b>Windows:</b></p> <p>GnuPG dla Windows jest narzędziem sterowanym linią poleceń i będziesz musiał/a używać <i>cmd.exe</i>. Jeśli nie zmienisz swojej zmiennej środowiskowej PATH, będziesz musiał/a podawać Windowsowi pełną ścieżkę do programu GnuPG. Jeśli zainstalowałeś/aś GnuPG z wartościami domyślnymi, ścieżka powinna wyglądać podobnie do <i>C:\Program Files\Gnu\GnuPg\gpg.exe</i>.</p> <p>Aby zaimportować klucz 0x28988BF5, uruchom <i>cmd.exe</i> i wpisz:</p> <pre>C:\Program Files\Gnu\GnuPg\gpg.exe --recv-keys 0x28988BF5</pre> <p><b>Mac and Linux</b></p> <p>Gdy masz Maka lub działasz na Linuksie, musisz używać terminala, by uruchamiać GnuPG. Użytkownicy Maków mogą znaleźć terminal pod "Applications" ("Aplikacje"). Jeśli masz Linuksa i używasz Gnome, terminal powinien być pod "Applications menu" ("menu Aplikacje") i "Accessories" ("Akcesoria"). Użytkownicy KDE mogą znaleźć terminal w "Menu" i "System".</p> <p>Aby zaimportować klucz 0x28988BF5, uruchom terminal i wpisz:</p> <pre>gpg --recv-keys 0x28988BF5</pre> <h3>Krok drugi: Sprawdzenie "odcisków palców" (skrótów) kluczy</h3> <hr /> <p>Po zaimportowaniu klucza, powinieneś/aś sprawdzić, że odcisk palca jest prawidłowy.</p> <p><b>Windows:</b></p> <pre>C:\Program Files\Gnu\GnuPg\gpg.exe --fingerprint (tu id klucza)</pre> <p><b>Mac and Linux</b></p> <pre>gpg --fingerprint (tu id klucza)</pre> Odciski palców kluczy powinny być następujące: <pre> pub 1024D/28988BF5 2000-02-27 Key fingerprint = B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 uid Roger Dingledine <arma@mit.edu> pub 3072R/165733EA 2004-07-03 Key fingerprint = B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA uid Nick Mathewson <nickm@alum.mit.edu> uid Nick Mathewson <nickm@wangafu.net> uid Nick Mathewson <nickm@freehaven.net> pub 1024D/31B0974B 2003-07-17 Key fingerprint = 0295 9AA7 190A B9E9 027E 0736 3B9D 093F 31B0 974B uid Andrew Lewman (phobos) <phobos@rootme.org> uid Andrew Lewman <andrew@lewman.com> uid Andrew Lewman <andrew@torproject.org> sub 4096g/B77F95F7 2003-07-17 pub 1024D/94C09C7F 1999-11-10 Key fingerprint = 5B00 C96D 5D54 AEE1 206B AF84 DE7A AF6E 94C0 9C7F uid Peter Palfrader uid Peter Palfrader <peter@palfrader.org> uid Peter Palfrader <weasel@debian.org> pub 1024D/5FA14861 2005-08-17 Key fingerprint = 9467 294A 9985 3C9C 65CB 141D AF7E 0E43 5FA1 4861 uid Matt Edman <edmanm@rpi.edu> uid Matt Edman <Matt_Edman@baylor.edu> uid Matt Edman <edmanm2@cs.rpi.edu> sub 4096g/EA654E59 2005-08-17 pub 1024D/9D0FACE4 2008-03-11 [expires: 2010-03-11] Key fingerprint = 12E4 04FF D3C9 31F9 3405 2D06 B884 1A91 9D0F ACE4 uid Jacob Appelbaum <jacob@appelbaum.net> sub 4096g/D5E87583 2008-03-11 [expires: 2010-03-11] pub 2048R/63FEE659 2003-10-16 Key fingerprint = 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E659 uid Erinn Clark <erinn@torproject.org> uid Erinn Clark <erinn@debian.org> uid Erinn Clark <erinn@double-helix.org> sub 2048R/EB399FD7 2003-10-16 pub 1024D/F1F5C9B5 2010-02-03 Key fingerprint = C2E3 4CFC 13C6 2BD9 2C75 79B5 6B8A AEB1 F1F5 C9B5 uid Erinn Clark <erinn@torproject.org> sub 1024g/7828F26A 2010-02-03 </pre> <h3>Krok trzeci: weryfikacja pobranej paczki</h3> <hr /> <p> Aby zweryfikować podpis pobranej paczki, musisz pobrać też plik ".asc".</p> <p>W następujących przykładach, użytkownik Alicja pobiera paczki dla Windows, Mac OS X i Linuksa i weryfikuje podpis każdej paczki. Wszystkie pliki są zapisywane na pulpicie.</p> <p><b>Windows:</b></p> <pre>C:\Program Files\Gnu\GnuPg\gpg.exe --verify C:\Users\Alice\Desktop\vidalia-bundle-0.2.1.25-0.2.7.exe.asc C:\Users\Alice\Desktop\vidalia-bundle-0.2.1.25-0.2.7.exe</pre> <p><b>Mac:</b></p> <pre>gpg --verify /Users/Alice/vidalia-bundle-0.2.1.25-0.2.7-i386.dmg.asc /Users/Alice/vidalia-bundle-0.2.1.25-0.2.7-i386.dmg</pre> <p><b>Linux</b></p> <pre>gpg --verify /home/Alice/Desktop/tor-0.2.1.25.tar.gz.asc /home/Alice/Desktop/tor-0.2.1.25.tar.gz</pre> <p>Po weryfikacji GnuPG wyświetli informację w stylu "Good signature" ("Poprawny podpis") lub "BAD signature" ("NIEPOPRAWNY podpis"). Powinno to wyglądać podobnie do tego:</p> <pre> gpg: Signature made Tue 16 Mar 2010 05:55:17 AM CET using DSA key ID 28988BF5 gpg: Good signature from "Roger Dingledine <arma@mit.edu>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 </pre> <p> Zauważcie, że pojawia się ostrzeżenie, gdyż nie określiliście stopnia zaufania do tego użytkownika. Znaczy to, że GnuPG zweryfikował, że ten podpis został wykonany tym kluczem, ale to od użytkownika zależy decydowanie, czy ten klucz rzeczywiście należy do dewelopera. Najlepszym sposobem jest spotkanie się z nimi osobiście i wymiana odcisków palców kluczy. </p> <p>Do Waszej wiadomości, oto jest przykład <em>NIEPRAWIDŁOWEJ</em> (nieudanej) weryfikacji. Oznacza ona, że podpis i zawartość pliku nie pasują. W takim przypadku, nie powinniście ufać zawartości pliku</p> <pre> gpg: Signature made Tue 20 Apr 2010 12:22:32 PM CEST using DSA key ID 28988BF5 gpg: BAD signature from "Roger Dingledine <arma@mit.edu>" </pre> <p>Jeśli używacie Tora na Debianie, powinniście przeczytać instrukcje o <a href="<page docs/debian>#packages">importowaniu tych kluczy do programu apt</a>.</p> <p>Jeśli chcecie dowiedzieć się więcej o GPG, wejdźcie na <a href="http://www.gnupg.org/documentation/">http://www.gnupg.org/documentation/</a>.</p> </div> #include <foot.wmi>