Установка

Windows или macOS

Загрузить OnionShare для Windows или macOS можно по ссылке: OnionShare.

Linux

Существуют разные способы установки OnionShare на Linux. Рекомендуется использовать такие менеджеры пакетов, как Flatpak или Snap <https://snapcraft.io/>. Их использование гарантирует, что будет произведена установка самой свежей версии OnionShare и что его запуск будет производиться «в песочнице» (в специально выделенной (изолированной) среде для безопасного исполнения компьютерных программ).

По умолчанию поддержка Snap предусмотрена дистрибутивами Ubuntu, поддержка Flatpak - дистрибутивами Fedora. Нужно отметить, что окончательный выбор менеджера пакетов остаётся за пользователем, поскольку и тот, и другой работают во всех дистрибутивах Linux.

Установка OnionShare c использованием Flatpak: https://flathub.org/apps/details/org.onionshare.OnionShare

Установка OnionShare с использованием Snap: https://snapcraft.io/onionshare

Также, в случае необходимости, загрузить и установить имеющие цифровую PGP-подпись пакеты .flatpak или .snap можно отсюда: https://onionshare.org/dist/.

Отдельная установка консольной версии

Консольную версию OnionShare можно установить отдельно на любую операционную систему при помощи менеджера пакетов Python pip. Больше информации можно найти по Интерфейс командной строки.

Проверка подписей PGP

Пользователь может произвести проверку целостности самостоятельно загруженных пакетов при помощи цифровой подписи PGP. Это необязательный шаг для операционных систем Windows и macOS, по скольку бинарные файлы OnionShare уже содержат в себе цифровые подписи, специфичные для каждой из этих операционных систем. Тем не менее, возможность такой проверки предусмотрена, в случае если есть необходимость дополнительно удостовериться в безопасности загруженных файлов.

Ключ подписи

Пакеты подписаны основным разработчиком OnionShare Micah Lee , c использованием его публичного ключа PGP. Цифровой «отпечаток пальца» ключа: 927F419D7EC82C2F149C1BD1403C2657CD994F73. Загрузить публичный ключ Micah можно отсюда: keys.openpgp.org keyserver.

Для проверки цифровых подписей PGP на компьютере пользователя должно быть установлено программное обеспечение GnuPG. Для macOS рекомендуется использовать GPGTools <https://gpgtools.org/>, для Windows Gpg4win.

Подписи

Цифровые подписи в виде ``.asc``файлов, наряду с пакетами для Windows, macOS, Flatpak, Snap и исходным кодом OnionSHare можно найти на https://onionshare.org/dist/ в соответствующих директориях или на GitHub Releases page.

Проверка

Чтобы проверить загруженный пакет на подлинность, сначала нужно импортировать публичного ключ Micah с использованием соответствующего ПО (GPGTools или Gpg4win), загрузить бинарный файл OnionShare и файл подписи``.asc``. Затем в терминале macOS, нужно выполнить такую команду:

gpg --verify OnionShare-2.2.pkg.asc OnionShare-2.2.pkg

В Windows, нужно запустить приложение cmd (или PowerShell) и выполнить такую команду:

gpg.exe --verify onionshare-2.2-setup.exe.asc onionshare-2.2-setup.exe

Ожидаемый результат выполнения команды:

gpg: Signature made Tue 19 Feb 2019 09:25:28 AM AEDT using RSA key ID CD994F73
gpg: Good signature from "Micah Lee <micah@micahflee.com>"
gpg:                 aka "Micah Lee <micah@firstlook.org>"
gpg:                 aka "Micah Lee <micah@freedom.press>"
gpg:                 aka "Micah Lee <micah.lee@firstlook.org>"
gpg:                 aka "Micah Lee <micah.lee@theintercept.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 927F 419D 7EC8 2C2F 149C  1BD1 403C 2657 CD99 4F73

Если вывод команды не содержит строку Good signature from, существует вероятность, что целостность пакета была нарушена (в результате злонамеренных действий третьих лиц или по техническим причиниам). В таком случае нельзя прозводить дальнейшую установку. (Надпись «WARNING:» показанная выше не является проблемой. Она только означает, что пока отсутствует необходимый «уровень доверия» к публичному ключу PGP Micah.)

Дополнительную информацию о проверке цифровых подписей PGP можно здесь: Qubes OS и здесь: Tor Project .