Создано:
2 дня, 13 часов ago
После загрузки установочного пакета с веб-сайта thunderbird.net или непосредственно из архива ПО вы можете убедиться, что загрузка завершена правильно, и, при необходимости, что это подлинный пакет от Mozilla.
Для каждого выпуска имеется корневая папка, содержащая подкаталоги для отдельных операционных систем, в которых содержатся файлы установочных пакетов. В корневой папке конкретного выпуска вы можете найти текстовый файл с именем SHA256SUMS.
Чтобы выполнить проверку, вам необходимо выполнить следующие действия:
- Выберите установочный пакет, соответствующий вашей операционной системе и языку, и загрузите его.
- Используйте инструмент для вычисления хэш-суммы SHA256 (которая является своего рода контрольной суммой) для загруженного вами файла и сохраните ее на экране для сравнения.
- Вернитесь в свой браузер и просмотрите файл SHA256 для версии, которую вы скачали.
- Найдите строку, содержащую язык и название загруженного вами файла. В этой же строке отображается ожидаемая хэш-сумма для файла. Убедитесь, что эта хэш-сумма соответствует результатам, полученным с помощью инструмента, используемого для вычисления хэш-суммы SHA256.
Если вы просматриваете файл SHA256SUM, используя последнюю версию Firefox, и вы просматриваете файл на сайте https://archive.mozilla.org, и хэш-суммы совпадают, очень высока вероятность того, что ваша загрузка правильная и аутентичная.
Если вы также хотите убедиться, что просматриваете правильный файл SHA256SUMS, например, потому, что вы загрузили эти файлы с зеркала, вы можете проверить, имеет ли файл цифровую подпись группы по выпуску программного обеспечения Mozilla.
Загрузите оба файла SHA256SUMS и SHA256SUMS.asc
Чтобы проверить подпись, вы можете воспользоваться программным обеспечением GnuPG, и, кроме того, вы должны получить самый последний и официальный открытый ключ Mozilla, который используется для подписи этого файла.
Программное обеспечение GnuPG обычно уже включено в дистрибутивы Linux. Для других операционных систем вы можете найти инструкции, в которых объясняется, как установить и использовать GPG4WIN для Windows или GPGTools для macOS.
Используйте GnuPG или аналогичное программное обеспечение для импорта открытого ключа Mozilla, о котором обычно сообщается в блоге Mozilla о безопасности. На момент написания этого документа с самой последней версией можно было ознакомиться здесь: https://blog.mozilla.org/security/2023/05/11/updated-gpg-key-for-signing-firefox-releases/
Теперь попросите GnuPG проверить подпись в файле SHA256SUMS.asc на соответствие данным в файле SHA256SUMS с помощью следующей команды:
$ gpg --verify SHA256SUMS.asc
gpg: assuming signed data in 'SHA256SUMS'
gpg: Signature made Di 26 Sep 2023 20:49:02 CEST
gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274
gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353
Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274
В приведенном выше примере выводится 8 строк.
В 7 строках указывается, какой ключ использовался для создания цифровой подписи. Вы можете сравнить цифровые отпечатки, показанные в этих строках, с цифровыми отпечатками, указанными в блоге Mozilla о безопасности. Если они совпадают, значит, вы успешно верифицировали файл SHA256SUMS.
