Instalación

Windows o macOS

Puedes descargar OnionShare para Windows o macOS desde la página web de OnionShare.

Linux

Hay varias maneras de instalar OnionShare para Linux, pero la recomendada es usar el paquete Flatpak o bien Snapcraft. Flatpak y Snap aseguran que siempre usará la versión más nueva, y ejecutará OnionShare dentro en un sandbox.

Snap está incorporado en Ubuntu, y Flatpak en Fedora, pero es tu elección cuál usar. Ambos funcionan en todas las distribuciones Linux.

Instala OnionShare usando Flatpak: https://flathub.org/apps/details/org.onionshare.OnionShare

Instala OnionShare usando Snapcraft: https://snapcraft.io/onionshare

También puedes descargar e instalar paquetes .flatpak o .snap firmados con PGP desde https://onionshare.org/dist/ si así lo prefieres.

Solo línea de comandos

You can install just the command-line version of OnionShare on any operating system using the Python package manager pip. Interfaz de línea de comando has more info.

Verificando firmas PGP

Puedes verificar que el paquete que descargaste sea legítimo y no haya sido manipulado al verificar su firma PGP. Para Windows y macOS, este paso es opcional, y provee defensa en profundidad: los ejecutables OnionShare incluyen firmas específicas del sistema operativo, y puedes confiar solo en ellas si así lo prefieres.

Clave de firma

Los paquetes están firmados por Micah Lee, el desarrollador principal, usando su clave pública PGP con huella digital 927F419D7EC82C2F149C1BD1403C2657CD994F73. Puedes descargar la clave de Micah desde el servidor de llaves keys.openpgp.org.

Para verificar firmas, debes tener GnuPG instalado. Para macOS probablemente quieras GPGTools, y para Windows, Gpg4win.

Firmas

Puedes encontrar las firmas (archivos .asc), como así también los paquetes para Windows, macOS, Flatpak, Snap y el código fuente, en https://onionshare.org/dist/ en las carpetas nombradas por cada versión de OnionShare. También puedes encontrarlas en la página de Lanzamientos de GitHub.

Verificando

Una vez que hayas importado la clave pública de Micah dentro de tu llavero GnuPG, descargado el ejecutable y la firma .asc, puedes verificar el ejecutable para macOS en un terminal como sigue:

gpg --verify OnionShare-2.2.pkg.asc OnionShare-2.2.pkg

O para Windows en una línea de comando como sigue:

gpg.exe --verify onionshare-2.2-setup.exe.asc onionshare-2.2-setup.exe

La salida esperada se parece a esta:

gpg: Signature made Tue 19 Feb 2019 09:25:28 AM AEDT using RSA key ID CD994F73
gpg: Good signature from "Micah Lee <micah@micahflee.com>"
gpg:                 aka "Micah Lee <micah@firstlook.org>"
gpg:                 aka "Micah Lee <micah@freedom.press>"
gpg:                 aka "Micah Lee <micah.lee@firstlook.org>"
gpg:                 aka "Micah Lee <micah.lee@theintercept.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 927F 419D 7EC8 2C2F 149C  1BD1 403C 2657 CD99 4F73

If you don’t see Good signature from, there might be a problem with the integrity of the file (malicious or otherwise), and you should not install the package. (The WARNING: shown above, is not a problem with the package, it only means you haven’t defined a level of «trust» of Micah’s (the core developer) PGP key.)

Si quieres aprender más acerca de la verificación de firmas PGP, las guías para Qubes OS y el Tor Project podrían ser útiles.