Giải ngố Tor Browser – Phần 3: Làm sao để kiểm tra signature file cài đặt

October 27, 2019 5 Comments

Sau khi kết thúc nội dung Phần 2: Cách thiết lập nhanh để chạy sau 69 giây, tôi nghĩ bạn đã có thể vi vu lướt web ẩn danh với Tor Browser. Tuy nhiên, đến đây tôi xin phép cắt ngang dòng sung sướng của bạn với câu hỏi đáng giá nhưng cũng rất khó chịu là “Làm sao mình kiểm tra được file cài đặt Tor Browser có bị thằng méo nào chọc ngoáy vào chưa?“.

Việc trả lời câu hỏi này theo tôi chỉ mang tính chất tương đối. Nếu bạn nằm trong top mục tiêu của giang hồ mạng thì khó có thể bảo đảm 100% kết quả kiểm tra lắm. Tuy nhiên, ở đây tôi giả định một cách đơn sơ là bạn đang cùng cấp độ gà mờ giống tôi (hoặc chỉ mới ở hạng trung cấp chứ chưa lên cấp cao thủ). Trong trường hợp đó, bạn có thể thực hiện các bước kiểm tra sau (tôi đã đề cập rải rác trong các bài trước nhưng chưa nhấn mạnh):

  1. Search từ khóa Tor Browserhttps://www.torproject.org và kiểm tra vào thời điểm hiện tại trang chủ của Torproject có thay đổi gì không. Bạn có thể mở lại bài Giải ngố Tor Browser – Phần 1: Làm sao để ẩn danh mà không tốn tiền để xem thêm minh họa. Việc kiểm tra này khá nhanh nên bạn chịu khó thực hiện thủ công để lấy link download file cài đặt từ trang chủ của Torproject chứ đừng click vô tội vạ vào link từ các trang khác (bao gồm luôn cái trang bạn đang đọc, nếu có!).
  2. Kiểm tra checksum của file cài đặt: Chỗ này diễn giải lý thuyết tôi thấy rối quá nên xin phép diễn giải đơn giản theo cách tôi hiểu như sau. Tưởng tượng bạn ngồi ở phòng QA với nhiệm vụ kiểm tra bảo đảm các chiếc ô tô xuất xưởng đều có các thành phần lắp ráp tuyệt đối giống nhau 100% (chênh nhau 1 con ốc vít cũng vứt). Để thực hiện nhiệm vụ này bạn sẽ lấy mẫu ngẫu nhiên để kiểm tra và sử dụng công cụ hỗ trợ là một máy nghiền siêu siêu cấp. Theo tài liệu kỹ thuật của công ty, 1 chiếc ô tô sau khi bị băm nát (hashing, thuật ngữ này đi từ lý thuyết nên tôi mượn luôn để diễn giải cho dễ hình dung) bởi máy nghiền sẽ bị nén lại ở 1 điều kiện chuẩn CMNR của phòng Lab và đo được khối lượng là 1,846,999.999 g. Như vậy nếu cái mẫu ngẫu nhiên của bạn theo quy trình kiểm tra không cho cùng một giá trị khối lượng trên thì bạn sẽ ton hót với sếp để sa thải thằng quản lý sản xuất ngay và luôn. Quay lại vấn đề chính (tôi đi xa quá!), cái file cài đặt bạn quan tâm cũng giống như cái ô tô cần kiểm tra (những băm xong bạn còn xài file được, còn cái ô tô thì tôi không chắc lắm) và cái checksum thì tương tự như cái khối lượng chuẩn trên. Điểm mấu chốt ở đây là chỉ khi cái file đầu vào hoàn toàn giống nhau thì sau khi qua quy trình xử lý băm chuẩn bạn mới thu được cùng một kết quả. Do vậy, nếu bạn vẫn còn kiểm soát được kết quả đầu ra chuẩn thì khó có thằng nào có thể chọc ngoáy vào file cài đặt vì bạn chỉ cần tính lại cái checksum là biết ngay (tôi minh họa bên dưới vì có thứ khác quan trọng hơn phải nói ngay). Bạn cần lưu ý, dòng giả định “nếu bạn vẫn còn kiểm soát được kết quả đầu ra chuẩn” thực sự rất quan trọng vì chỉ cần bạn lấy sai checksum/ nguồn lấy checksum của bạn bị tác động thì toàn bộ công sức sẽ đổ sông đổ biển hết. Đó chính là lí do vì sau chúng ta sẽ có mục 3 ngay bên dưới đây.
  3. Xác thực bằng chữ ký với GnuPG: Nếu bạn còn nhớ thì trong phần Giải ngố Tor Browser – Phần 1: Làm sao để ẩn danh mà không tốn tiền, tôi đã một lần đề cập đến việc verify Tor Browser’s signature (nếu bạn lỡ quên thì mở lại đi nhé). Tuy nhiên lúc đó tôi chỉ nói chung, bây giờ tôi sẽ đi vào chi tiết của việc này.
Tính toán và kiểm tra checksum
Minh họa tính toán và kiểm tra checksum

Để thực hiện mục 3 nói trên chúng ta cần 2 phần: file Signature của Tor Browser và công cụ GnuPG. File Signature của Tor Browser thì rất đơn giản, lúc download file cài đặt thì bạn đã có thể lấy về máy luôn.

Lấy file signature của Tor Browser tương ứng theo phiên bản hệ điều hành
Lấy file signature tương ứng theo phiên bản hệ điều hành

Vấn đề thứ hai liên quan đến GnuPG, trước hết chúng ta cần tìm và cài đặt công cụ này đã. Tôi xin minh họa với Win 10 vì nếu bạn xài Linux thì khả năng rất cao là nó đã có sẵn rồi, bạn chỉ cần chạy lệnh kiểm tra (tôi chưa có tiền mua máy macOS nên không minh họa với hệ điều hành này được, bạn có biết ai bán máy cũ thì nhắn tôi nhé). Bạn search gnupg.org để đến trang chủ nhé. Nếu không có gì thay đổi nhiều bạn sẽ thấy nội dung như sau.

Trang chủ GnuPG
Trang chủ GnuPG

Sau đó bạn vào mục download để tìm phiên bản phù hợp.

Các tùy chọn download GnuPG cho các hệ điều hành
Các tùy chọn download cho các hệ điều hành

Với Windows, bạn có 3 tùy chọn nhưng tôi sẽ lấy cái thứ 2 cho nhanh gọn. Việc cài đặt không có gì đặc sắc và cũng rất nhanh (tôi chạy khoảng 5s là xong) nên tôi không nói thêm. Tuy nhiên, ở đây sẽ xuất hiện lại câu hỏi kinh điển là làm sao bạn biết được file cài đặt GnuPG này chuẩn cmnr? Vâng, 1 câu hỏi rất chính đáng và đầy mệt mỏi, bạn mở mục Integrity Check (bên dưới mục Download của GnuPG) để cặm cụi đọc các bước kiểm tra rồi lặng lẽ làm theo…

Kiểm tra file cài đặt của GnuPG
Kiểm tra file cài đặt của GnuPG

OK, đến đây bạn đã có được file chữ ký của Tor Browser và công cụ GnuPG chính chủ (nếu chưa xong cái Integrity Check thì cũng tạm vờ vịt là bạn làm được đi nhé, chứ giờ minh họa chi tiết cái này luôn tôi cũng thấy ngán quá!).

Bây giờ bạn mở cmd lên và dùng dòng lệnh sau để lấy và import Tor Browser Developers signing key: gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
Kết quả thu được sẽ tương tự như sau:

Kết quả import public key của Tor Browser
Kết quả import public key của Tor Browser

Chỗ này có thể làm cho bạn phọt ra hàng tá câu hỏi kiểu như:
public key là cái vẹo gì?
– tôi đang kiểm tra file cài đặt trên máy mình thì đi lấy key của thằng khác làm gì?
– thằng nào viết bài này ngu bỏ xừ, chẳng giải thích gì tự nhiên nhảy vào import key?

Vâng, chỗ này là lỗi của tôi. Nếu làm việc đúng quy trình, tôi phải dành ra vài trang A4 giới thiệu về Pretty Good Privacy – PGP, public-private key và phương thức hoạt động như thế nào trước. Tuy nhiên, tôi nghĩ nhét cả nội dung liên quan đến mã hóa vào đây thì có khi lát nữa bạn lại quên mất nhiệm vụ chính là bạn đang muốn kiểm tra file cài đặt Tor Browser. Do vậy, bạn tạm chấp nhận với cách làm hiện tại trong bài này và xem thêm thông tin chi tiết trong sơ-ri về PGP nhé.

Quay trở lại với cmd, bây giờ bạn chạy lệnh export key với gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Sau đó tiến hành kiểm tra file cài đặt Tor BrowerSignature tương ứng với gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-9.0_en-US.exe.asc Downloads\torbrowser-install-win64-9.0_en-US.exe. Lưu ý, tôi lười sửa lệnh nên lưu file cài đặt và file signature trong thư mục Downloads luôn nhé. Nếu bạn lưu chỗ khác thì nhớ chỉnh lại cho phù hợp.

Đến đây nếu bạn không quá nhọ thì khả năng sẽ thấy kết quả như sau:

Kết quả kiểm tra file cài đặt Tor Browser với signature
Kết quả kiểm tra file cài đặt Tor Browser với signature

Bạn thấy chữ Good signature… trong thông báo là ngon ăn. Giờ bạn có thể quay lại vi vu với Tor Browser rồi nhé.

5 thoughts on “Giải ngố Tor Browser – Phần 3: Làm sao để kiểm tra signature file cài đặt”

  1. Pingback: Giải ngố Proxy Server – Phần 7: Câu chuyện bên lề về mã hóa và cứu tinh Pretty Good Privacy (PGP) - Tips for Dummies
  2. Pingback: Giải ngố Tor Browser – Phần 2: Cách thiết lập nhanh Tor Browser để chạy sau 69 giây - Dummytip
  3. Pingback: Giải ngố Blockchain – Phần 2: Hiểu nhanh cơ chế hoạt động của Blockchain với Bitcoin trong 5 phút - Dummytip
  4. Pingback: Giải ngố Cryptography – Phần 1: CIA có gì hot? - Dummytip
  5. Pingback: Giải ngố Kali Linux – Phần 1: Kali Linux là gì? - Dummytip

Leave a Reply

Your email address will not be published. Required fields are marked *