После загрузки установочного пакета с веб-сайта thunderbird.net или непосредственно из архива выпусков Thunderbird вы можете убедиться, что загрузка завершена правильно, и, при необходимости, что это подлинный пакет от Mozilla.

Для каждого выпуска имеется корневая папка, содержащая подкаталоги для отдельных операционных систем, в которых содержатся файлы установочных пакетов. В корневой папке конкретного выпуска вы можете найти текстовый файл с именем SHA256SUMS.

Убедитесь, что загрузка установочного пакета завершилась правильно

Чтобы выполнить проверку, сделайте следующее:

1. Выберите установочный пакет, соответствующий вашей операционной системе и языку, и загрузите его.
2. Используйте инструмент для вычисления хэш-суммы SHA256 (которая является своего рода контрольной суммой) для загруженного вами файла и сохраните ее на экране для сравнения.
3. Вернитесь в своем браузере к корневой папке, например, https://archive.mozilla.org/pub/thund.../128.5.0esr/, и просмотрите файл SHA256 для скачанного вами выпуска.
4. Найдите строку, содержащую язык и название загруженного вами файла. В этой же строке отображается ожидаемая хэш-сумма для файла. Убедитесь, что эта хэш-сумма соответствует результатам, полученным с помощью инструмента, используемого для вычисления хэш-суммы SHA256.

Если вы просматриваете файл SHA256SUM, используя последнюю версию Thunderbird, и вы просматриваете файл на сайте https://archive.mozilla.org, и хэш-суммы совпадают, очень высока вероятность того, что ваша загрузка правильная и аутентичная.

Проверьте подлинность загруженного файла (необязательно)

Если вы также хотите также убедиться, что просматриваете правильный файл SHA256SUMS (например, потому, что вы загрузили эти файлы с зеркала), вы можете проверить, имеет ли файл цифровую подпись группы по выпуску программного обеспечения Mozilla. Выполните следующие действия, чтобы проверить подлинность загруженного файла:

1. Загрузите оба файла SHA256SUMS и SHA256SUMS.asc.
2. Чтобы проверить подпись, вы можете воспользоваться программным обеспечением GnuPG, и, кроме того, вы должны получить самый последний и официальный открытый ключ Mozilla, который используется для подписи этого файла.
   • Программное обеспечение GnuPG обычно уже включено в дистрибутивы Linux. Для других операционных систем вы можете найти инструкции, в которых описывается, как установить и использовать GPG4WIN для Windows или GPGTools для macOS.
   • Используйте GnuPG или аналогичное программное обеспечение для импорта открытого ключа Mozilla, о котором обычно сообщается в блоге Mozilla о безопасности. На момент написания этого документа с самой последней версией можно было ознакомиться в
     этом посте Mozilla Security Blog.
3. Теперь попросите GnuPG проверить подпись в файле SHA256SUMS.asc на соответствие данным в файле SHA256SUMS с помощью следующей команды:
   $ gpg --verify SHA256SUMS.asc
   
4. Затем вы получите результаты сравнения. В этом примере выводится 8 строк:

gpg: assuming signed data in 'SHA256SUMS

gpg: Signature made Di 26 Sep 2023 20:49:02 CEST

gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274

gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]

gpg: WARNING: This key is not certified with a trusted signature!

gpg: There is no indication that the signature belongs to the owner.

Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353

Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274

В строках 7 и 8 указывается, какой ключ использовался для создания цифровой подписи. Вы можете сравнить цифровые отпечатки, показанные в этих строках, с цифровыми отпечатками, указанными в блоге Mozilla о безопасности. Если они совпадают, значит, вы успешно верифицировали файл SHA256SUMS.