Instalación

Windows o macOS

Puedes descargar OnionShare para Windows o macOS desde la página web de OnionShare.

Instalar en Linux

Hay varias maneras de instalar OnionShare para Linux, pero la recomendada es usar el paquete Flatpak o bien Snapcraft. Flatpak y Snap aseguran que siempre usarás la versión más nueva, y ejecutarás OnionShare dentro de un sandbox.

Snap está incorporado en Ubuntu, y Flatpak en Fedora, pero es a tu elección cuál usar. Ambos funcionan en todas las distribuciones Linux.

Instala OnionShare usando Flatpak: https://flathub.org/apps/details/org.onionshare.OnionShare

Instala OnionShare usando Snap: https://snapcraft.io/onionshare

También puedes descargar e instalar paquetes .flatpak o .snap firmados con PGP desde https://onionshare.org/dist/ si así lo prefieres.

Verificar firmas PGP

Puedes verificar que el paquete que descargaste sea legítimo y no haya sido manipulado al verificar su firma PGP. Para Windows y macOS, este paso es opcional, y provee defensa en profundidad: los ejecutables OnionShare incluyen firmas específicas del sistema operativo, y puedes confiar solo en ellas si así lo prefieres.

Clave de firma

Los paquetes están firmados por Micah Lee, el desarrollador principal, usando su clave pública PGP con huella digital 927F419D7EC82C2F149C1BD1403C2657CD994F73. Puedes descargar la clave de Micah desde el servidor de llaves keys.openpgp.org.

Para verificar firmas, debes tener GnuPG instalado. Para macOS probablemente quieras GPGTools, y para Windows, Gpg4win.

Firmas

Puedes encontrar las firmas (archivos .asc), como así también los paquetes para Windows, macOS, Flatpak, Snap y el código fuente, en https://onionshare.org/dist/ en las carpetas nombradas por cada versión de OnionShare. También puedes encontrarlas en la página de Lanzamientos de GitHub.

Verificando

Una vez que hayas importado la clave pública de Micah dentro de tu llavero GnuPG, descargado el ejecutable y la firma .asc, puedes verificar el ejecutable para macOS en un terminal como sigue:

gpg --verify OnionShare-2.2.pkg.asc OnionShare-2.2.pkg

O para Windows en una línea de comando como sigue:

gpg.exe --verify onionshare-2.2-setup.exe.asc onionshare-2.2-setup.exe

La salida esperada se parece a esta:

gpg: Signature made Tue 19 Feb 2019 09:25:28 AM AEDT using RSA key ID CD994F73
gpg: Good signature from "Micah Lee <micah@micahflee.com>"
gpg:                 aka "Micah Lee <micah@firstlook.org>"
gpg:                 aka "Micah Lee <micah@freedom.press>"
gpg:                 aka "Micah Lee <micah.lee@firstlook.org>"
gpg:                 aka "Micah Lee <micah.lee@theintercept.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 927F 419D 7EC8 2C2F 149C  1BD1 403C 2657 CD99 4F73

Si no ves “Good signature from”, entonces podría haber un problema con la integridad del archivo (malicioso u otra causa), y no deberías instalar el paquete. (La «ADVERTENCIA:» mostrada arriba no es un problema con el paquete: solamente significa que no has definido ningún nivel de “confianza” con respecto a la clave PGP de Micah.)

Si quieres aprender más acerca de la verificación de firmas PGP, las guías para Qubes OS y el Tor Project podrían ser útiles.