Aangemaakt:
21 hours ago
Na het downloaden van een installatiepakket van de website thunderbird.net of rechtstreeks vanuit het software-archief, kunt u verifiëren of de download correct is afgerond, en optioneel dat het een authentiek pakket van Mozilla is.
Voor elke versie kan een rootmap worden gevonden, die submappen bevat voor individuele besturingssystemen, die installatiepakketbestanden bevatten. In de rootmap van een specifieke versie kunt u een tekstbestand genaamd SHA256SUMS vinden.
Om de verificatie uit te voeren dient de volgende stappen te nemen:
- Kies uw installatiepakket, op basis van uw besturingssysteem en uw taal, en download dit.
- Gebruik een hulpmiddel om de SHA256-hashsum (wat een soort checksum is) te berekenen voor het bestand dat u hebt gedownload, en houd deze ter vergelijking op uw scherm.
- Ga terug naar uw browser en bekijk het bestand SHA256 voor de versie die u hebt gedownload.
- Zoek de regel met de taal en naam van het bestand dat u hebt gedownload. In dezelfde regel wordt de verwachte hashsum voor het bestand getoond. Controleer of deze hashsum overeenkomt met het resultaat dat u hebt ontvangen van het hulpmiddel waarmee u de SHA256- hashsum hebt berekend.
Als u het bestand SHA256SUMS bekijkt met een recente versie van Firefox en u het bestand bekijkt op de website https://archive.mozilla.org, en de hashsums komen overeen, dan is de kans zeer groot dat uw download correct en authentiek is.
Als u ook wilt controleren dat u het correcte SHA256SUMS-bestand bekijkt, omdat u bijvoorbeeld deze bestanden van een mirrorwebsite hebt gedownload, kunt u controleren dat het bestand de digitale handtekening van het Mozilla Software Releaseteam draagt.
Download de bestanden SHA256SUMS en SHA256SUMS.asc.
Om de handtekening te controleren, kunt u de GnuPG-software gebuiken, en daarnaast dient u Mozilla’s meest recente en officiële publieke sleutel te verkrijgen, tdie is gebruikt om dit bestand te ondertekenen.
De GnuPG-software is is gewoonlijk al opgenomen in Linux-distributies. Voor andere besturingssystemen zou u HOWTO-documenten moeten kunnen vinden die uitleggen hoe u GPG4WIN voor Windows of GPGTools voor MacOS kunt installeren en gebruiken.
Gebruik GnuPG of vergelijkbare software om Mozilla’s publieke sleutel te importeren, die gewoonlijk wordt aangekondigd in Mozilla’s beveiligingsblog. Ten tijde van schrijven van dit document kan de meest recente versie hier worden gevonden: https://blog.mozilla.org/security/2023/05/11/updated-gpg-key-for-signing-firefox-releases/.
Vertel vervolgens GnuPG om de handtekening in het bestand SHA256SUMS.asc te vergelijken met de gegevens in het bestand SHA256SUMS met de volgende opdracht:
$ gpg --verify SHA256SUMS.asc
gpg: assuming signed data in 'SHA256SUMS'
gpg: Signature made Di 26 Sep 2023 20:49:02 CEST
gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274
gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353
Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274
In het bovenstaande voorbeeld vindt u 8 regels output.
De regels 7 en 8 vertellen u welke sleutel is gebruikt voor de digitale handtekening. U kunt de fingerprint(s) in die regels vergelijken met de fingerprint in de Mozilla-beveiligingsblogpost. Als ze overeenkomen, hebt u met succes het bestand SHA256SUMS geverifieerd.
