Po pobraniu pakietu instalacyjnego ze strony thunderbird.net lub bezpośrednio z archiwum wydań Thunderbirda, można sprawdzić, czy pobieranie zakończyło się poprawnie i opcjonalnie, czy jest to autentyczny pakiet od Mozilli.

Dla każdego wydania Thunderbirda, na serwerze tworzony jest folder główny, który zawiera podkatalogi dla poszczególnych systemów operacyjnych, które zawierają pliki pakietów instalacyjnych. W folderze głównym konkretnego wydania znajduje się plik tekstowy o nazwie SHA256SUMS.

Sprawdzenie, czy pobieranie pakietu instalacyjnego zakończyło się poprawnie

Aby przeprowadzić weryfikację, wykonaj następujące kroki:

1. Wybierz swój pakiet instalacyjny, w oparciu o posiadany system operacyjny i język, i pobierz go.
2. Użyj narzędzia do obliczenia funkcji skrótu SHA256 (która jest rodzajem sumy kontrolnej) dla pobranego pliku i zachowaj ją na ekranie do porównania.
3. Wróć do przeglądarki do folderu głównego, na przykład https://archive.mozilla.org/pub/thund.../128.5.0esr/, i wyświetl plik SHA256SUMS dla pobranego wydania.
4. Znajdź wiersz zawierający język i nazwę pobranego pliku. W tym samym wierszu wyświetlana jest oczekiwana suma skrótu dla pliku. Upewnij się, że ta suma skrótu jest zgodna z danymi wyjściowymi uzyskanymi z narzędzia używanego do obliczania funkcji skrótu SHA256.

Jeśli przeglądasz plik SHA256SUMS przy użyciu najnowszej wersji Thunderbirda i przeglądasz plik na stronie https://archive.mozilla.org, a sumy skrótu są zgodne, istnieje bardzo duże prawdopodobieństwo, że pobrany plik jest poprawny i autentyczny.

Weryfikacja autentyczności pobranego pliku (opcjonalnie)

Jeśli chcesz również sprawdzić, czy widzisz prawidłowy plik SHA256SUMS (na przykład, ponieważ pobrałeś te pliki z mirrora), możesz sprawdzić, czy plik zawiera podpis cyfrowy zespołu Mozilla Software Release. Wykonaj następujące kroki, aby zweryfikować autentyczność pobranego pliku:

1. Pobierz oba pliki: SHA256SUMS oraz SHA256SUMS.asc.
2. Aby sprawdzić podpis, możesz użyć oprogramowania GnuPG, a ponadto musisz uzyskać najnowszy i oficjalny klucz publiczny Mozilli, który jest używany do podpisywania tego pliku.
   • Oprogramowanie GnuPG jest zwykle już dołączone do dystrybucji Linuksa. W przypadku innych systemów operacyjnych powinieneś być w stanie znaleźć dokumenty HOWTO, które opisują, jak zainstalować i używać GPG4WIN dla Windows lub GPGTools dla macOS.
   • Użyj GnuPG lub podobnego oprogramowania, aby zaimportować klucz publiczny Mozilli, który jest zwykle ogłaszany na blogu Mozilla Security. W momencie pisania tego dokumentu najnowszą wersję można znaleźć w
     tym wpisie na blogu Mozilla Security.
3. Teraz użyj GnuPG do sprawdzenia podpisu w pliku SHA256SUMS.asc pod kątem danych w pliku SHA256SUMS za pomocą następującego polecenia:
   $ gpg --verify SHA256SUMS.asc
   
4. Następnie otrzymasz wyniki porównania. W tym przykładzie jest 8 wierszy danych wyjściowych:

gpg: assuming signed data in 'SHA256SUMS'

gpg: Signature made Di 26 Sep 2023 20:49:02 CEST

gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274

gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]

gpg: WARNING: This key is not certified with a trusted signature!

gpg: There is no indication that the signature belongs to the owner.

Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353

Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274

Linie 7 i 8 informują, który klucz został użyty do utworzenia podpisu cyfrowego. Możesz porównać odcisk(i) palca pokazane w tych wierszach z odciskiem palca pokazanym w poście na blogu Mozilla Security. Jeśli się zgadzają, pomyślnie zweryfikowano plik SHA256SUMS.