Installation

Installation unter Windows oder macOS

Du kannst OnionShare für Windows und macOS von der OnionShare-Webseite herunterladen.

Installation unter Linux

Es gibt verschiedene Wege, OnionShare unter Linux zu installieren, aber empfohlen wird die Installation über das Flatpak <https://flatpak.org/>`_- oder Snapcraft <https://snapcraft.io/>`_-Paket. Per Flatpak und Snap wird sichergestellt, dass du immer die neueste Version hast und dass OnionShare in einer Sandbox läuft.

Snapcraft ist in Ubuntu und Flatpak ist in Fedora integriert, aber du entscheidest, welche der Möglichkeiten du nutzt. Beide Möglichkeiten funktionieren mit allen Linux-Distributionen.

Installation von OnionShare über Flatpak: https://flathub.org/apps/details/org.onionshare.OnionShare

Installation von OnionShare über Snap: https://snapcraft.io/onionshare

Du kannst auch PGP-signierte .flatpak- oder .snap-Pakete von https://onionshare.org/dist/ herunterladen und installieren, falls du das lieber möchtest.

PGP-Signaturen überprüfen

Du kannst das heruntergeladene Paket dahingehend überprüfen, dass es aus offizieller Quelle stammt und nicht verändert wurde, indem du seine PGP-Signatur überprüfst. Unter Windows und macOS ist dieser Schritt optional und bietet einen zusätzlichen Schutz: die OnionShare-Binärdateien enthalten betriebssystemspezifische Signaturen, und du kannst dich auch nur auf diese verlassen, falls du dies möchtest.

Signaturschlüssel

Pakete werden von Micah Leh, dem Hauptentwickler, mit seinem öffentlichen PGP-Schlüssel mit dem Fingerabdruck ``927F419D7EC82C2F149C1BD1403C2657CD994F73``signiert. Du kannst Micahs Schlüssel vom Schlüsselserver keys.openpgp.org keyserver herunterladen.

Um die Signaturen zu überprüfen, musst du GnuPG installiert haben. Unter macOS möchtest du wahrscheinlich GPGTools verwenden, unter Windows Gpg4win.

Signaturen

Die Signaturen (.asc-Dateien) und auch die Windows-, macOS-, Flatpak-, Snapcraft- und Quellpakete kannst du auf https://onionshare.org/dist/ in den Ordnern finden, die nach der jeweiligen Version von OnionShare benannt wurden. Du kannst sie auch auf der Release-Seite auf GitHub finden.

Verifizierung

Sobald du Micahs öffentichen Schlüssel in deinen GnuPG-Schlüsselbund importiert, die Binärdatei und die passende .asc-Signatur heruntergeladen hast, kannst du die Binärdatei für macOS im Terminal wie folgt überprüfen:

gpg --verify OnionShare-2.2.pkg.asc OnionShare-2.2.pkg

Oder unter Windows in der Kommandozeile wie folgt:

gpg.exe --verify onionshare-2.2-setup.exe.asc onionshare-2.2-setup.exe

Eine erwartete Ausgabe sollte wiefolgt aussehen:

gpg: Signature made Tue 19 Feb 2019 09:25:28 AM AEDT using RSA key ID CD994F73
gpg: Good signature from "Micah Lee <micah@micahflee.com>"
gpg:                 aka "Micah Lee <micah@firstlook.org>"
gpg:                 aka "Micah Lee <micah@freedom.press>"
gpg:                 aka "Micah Lee <micah.lee@firstlook.org>"
gpg:                 aka "Micah Lee <micah.lee@theintercept.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 927F 419D 7EC8 2C2F 149C  1BD1 403C 2657 CD99 4F73

Wenn du nicht ‚Good signature from‘ siehst, könnte es ein Problem mit der Datei-Integrität geben (potentielle Bösartigkeit / Schädlichkeit oder ein anderes Integritätsproblem); in diesem Fall solltest du das Paket nicht installieren. (Das oben gezeigte WARNING deutet allerdings nicht auf ein Problem mit dem Paket hin: es bedeutet lediglich, dass du noch keinen ‚Trust-Level‘ in Bezug auf Micahs PGP-Schlüssel festgelegt hast.)

Falls du mehr über die Verifizierung von PGP-Signaturen lernen möchtest, können die Leitfäden für Qubes OS und das`Tor-Projekt <https://2019.www.torproject.org/docs/verifying-signatures.html.en>`_ eine Hilfestellung bieten.