Δημιουργήθηκε:
2 days, 17 hours ago
Μετά τη λήψη ενός πακέτου εγκατάστασης από τον ιστότοπο thunderbird.net ή απευθείας από την αρχειοθήκη λογισμικού, μπορείτε να επαληθεύσετε εάν η λήψη ολοκληρώθηκε σωστά και, προαιρετικά, εάν πρόκειται για ένα αυθεντικό πακέτο από τη Mozilla.
Για κάθε έκδοση, μπορείτε να βρείτε έναν φάκελο ρίζας, ο οποίος περιέχει ξεχωριστούς υποκαταλόγους για κάθε λειτουργικό σύστημα, οι οποίοι περιλαμβάνουν αρχεία πακέτων εγκατάστασης. Στον φάκελο ρίζας μιας συγκεκριμένης έκδοσης, θα βρείτε επίσης ένα αρχείο κειμένου με το όνομα «SHA256SUMS».
Για να κάνετε την επαλήθευση, θα πρέπει να ακολουθήσετε τα παρακάτω βήματα:
- Επιλέξτε και κάντε λήψη του πακέτου εγκατάστασής σας, ανάλογα με το λειτουργικό σύστημα και τη γλώσσα σας.
- Χρησιμοποιήστε ένα εργαλείο για να υπολογίσετε το SHA256 hashsum (που είναι ένα είδος checksum) για το ληφθέν αρχείο και διατηρήστε το στην οθόνη σας για να κάνετε τη σύγκριση.
- Επιστρέψτε στο πρόγραμμα περιήγησής σας και ανοίξτε το αρχείο SHA256 για την έκδοση της επιλογής σας.
- Βρείτε τη γραμμή που περιέχει τη γλώσσα και το όνομα του αρχείου που αποθηκεύσατε. Στην ίδια γραμμή, θα αναγράφεται το αναμενόμενο hashsum για το αρχείο. Βεβαιωθείτε ότι αυτό το hashsum ταιριάζει με το αποτέλεσμα που λάβατε από το εργαλείο που χρησιμοποιήσατε για τον υπολογισμό του SHA256 hashsum.
Αν κάνετε προβολή του αρχείου SHA256SUM με μια πρόσφατη έκδοση του Firefox, στον ιστότοπο https://archive.mozilla.org, και τα hashsum ταιριάζουν, το πιο πιθανό είναι ότι η λήψη σας είναι σωστή και αυθεντική.
Εάν θέλετε να επαληθεύσετε ότι βλέπετε το σωστό αρχείο SHA256SUMS επειδή, για παράδειγμα, έχετε κάνει λήψη αυτών των αρχείων από κάποιον εναλλακτικό σύνδεσμο (mirror), μπορείτε να ελέγξετε εάν το αρχείο φέρει την ψηφιακή υπογραφή της ομάδας διάθεσης λογισμικού της Mozilla.
Κάντε λήψη τόσο του αρχείου SHA256SUMS όσο και του αρχείου SHA256SUMS.asc.
Για να ελέγξετε την υπογραφή, μπορείτε να χρησιμοποιήσετε το λογισμικό GnuPG. Θα πρέπει επίσης να ακοκτήσετε το πιο προσφατο, επίσημο δημόσιο κλειδί της Mozilla που έχει χρησιμοποιηθεί για την υπογραφή αυτού του αρχείου.
Το λογισμικό GnuPG χρησιμοποιείται περιλαμβάνεται συνήθως στις διανομές Linux. Για άλλα λειτουργικά συστήματα, μπορείτε να βρείτε έγγραφα με οδηγίες που εξηγούν πώς να εγκαταστήσετε και να χρησιμοποιήσετε το GPG4WIN για Windows ή το GPGTools για macOS.
Χρησιμοποιήστε το GnuPG ή κάποιο παρόμοιο λογισμικό για να εισαγάγετε το δημόσιο κλειδί της Mozilla, το οποίο ανακοινώνεται συνήθως στο ιστολόγιο ασφαλείας της. Τη στιγμή της σύνταξης του παρόντος εγγράφου, η πιο πρόσφατη έκδοση βρίσκεται εδώ: https://blog.mozilla.org/security/2023/05/11/updated-gpg-key-for-signing-firefox-releases/
Τώρα, εισαγάγετε την παρακάτω εντολή στο GnuPG για να συγκρίνετε την υπογραφή στο αρχείο SHA256SUMS.asc με τα δεδομένα του αρχείου SHA256SUMS:
$ gpg --verify SHA256SUMS.asc
gpg: assuming signed data in 'SHA256SUMS'
gpg: Signature made Di 26 Sep 2023 20:49:02 CEST
gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274
gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353
Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274
Στο παραπάνω παράδειγμα, υπάρχουν 8 γραμμές εξόδου.
Οι γραμμές 7 και 8 δηλώνουν ποιο κλειδί χρησιμοποιήθηκε για τη δημιουργία της ψηφιακής υπογραφής. Μπορείτε να συγκρίνετε τα αποτυπώματα που εμφανίζονται σε αυτές τις γραμμές με το αποτύπωμα που αναγράφεται στην ανάρτηση του ιστολογίου ασφαλείας του Mozilla. Εάν ταιριάζουν, έχετε επαληθεύσει επιτυχώς το αρχείο SHA256SUMS.
