Installation¶

Windows ou macOS¶

Vous pouvez télécharger OnionShare pour Windows et macOS depuis le site web OnionShare.

Linux¶

Il y a plusieurs façons d’installer OnionShare sur Linux, mais la méthode recommendée est le paquet Flatpak ou Snap. Flatpak et Snap vous assure de toujours avoir la dernière version d’OnionShare et executé dans un bac à sable (sandbox).

Snap est supporté de manière native dans Ubuntu et Fedora intègre Flatpak, mais c’est à vous de décider lequel vous souhaitez utiliser. Les deux marchent sur toutes les distributions Linux.

Installer OnionShare en utilisant Flatpak : https://flathub.org/apps/details/org.onionshare.OnionShare

Installer OnionShare en utilisant Snap : https://snapcraft.io/onionshare

Vous pouvez aussi télécharger et installer des paquets .flatpak ou .snap signé avec PGP depuis https://onionshare.org/dist/ si vous préférer.

Command-line only¶

You can install just the command line version of OnionShare on any operating system using the Python package manager pip. See Interface en ligne de commande for more information.

Vérifier les signatures PGP¶

Vous pouvez vérifier que les paquets que vous téléchargés n’ont pas été falsifiés en vérifiant la signature PGP. Pour Windows et macOS, cette étape est optionnelle et procure une défense en profondeur : les exécutables OnionShare incluent des signatures spécifiques aux systèmes, et vous pouvez vous reposer uniquement sur celles-là si vous le souhaitez.

Clé de signature¶

Les paquets sont signés par Micah Lee, développeur principal, utilisant sa clé PGP publique ayant comme empreinte 927F419D7EC82C2F149C1BD1403C2657CD994F73. Vous pouvez téléchargez sa clé depuis le serveur de clé openpgp.org..

Vous devez avoir installé GnuPG pour vérifier les signatures. Pour macOS, vous voudrez probablement utilisé GPGTools, et pour Windows Gpg4win.

Signatures¶

Vous pouvez trouver les signatures (en tant fichiers « .asc »), ainsi que les fichiers Windows, macOS, Flatpak, Snap et sources, à https://onionshare.org/dist/ in les dossiers correspondants à chaque version d’OnionShare. Vous pouvez aussi les trouvez sur la page des versions GitHub.

Vérifier¶

Une fois que vous avez importé la clé publique de Micah dans votre porte-clé GnuPG, télécharger l’exécutable et la signature « .asc », vous pouvez vérifier l’exécutable pour macOS dans un terminal comme ceci

gpg --verify OnionShare-2.2.pkg.asc OnionShare-2.2.pkg

Ou pour Windows, dans l’invite de commande comme ceci : :

gpg.exe --verify onionshare-2.2-setup.exe.asc onionshare-2.2-setup.exe

La sortie attendue ressemble à

gpg: Signature made Tue 19 Feb 2019 09:25:28 AM AEDT using RSA key ID CD994F73
gpg: Good signature from "Micah Lee <micah@micahflee.com>"
gpg:                 aka "Micah Lee <micah@firstlook.org>"
gpg:                 aka "Micah Lee <micah@freedom.press>"
gpg:                 aka "Micah Lee <micah.lee@firstlook.org>"
gpg:                 aka "Micah Lee <micah.lee@theintercept.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 927F 419D 7EC8 2C2F 149C  1BD1 403C 2657 CD99 4F73

If you don’t see Good signature from, there might be a problem with the integrity of the file (malicious or otherwise), and you should not install the package. (The WARNING: shown above, is not a problem with the package, it only means you haven’t defined a level of « trust » of Micah’s PGP key.)

Si vous voulez en apprendre plus sur la vérification des signatures PGP, le guide de Qubes OS et du Projet Tor peuvent être utiles.