从 thunderbird.net 网站 下载一个安装包 或直接从下载 Thunderbird 的安装包 后，您可以验证下载是否已正确完成，以及它是否是来自 Mozilla 的正版包。

每个发布版本都对应一个根文件夹，其中包含分别适用于各操作系统的子目录，子目录下存放着安装包文件。在具体发布版本的根文件夹中，有一个名为 SHA256SUMS 的文本文件。

验证安装包的下载是否已正确完成

要执行验证，请执行以下步骤：

1. 根据自己的操作系统和语言，选择并下载安装包。
2. 通过工具计算所下载文件的 SHA256 散列值（校验和的一种），并将其留在屏幕上，用作对比。
3. 返回浏览器，查看所下载的发布版本文件的 SHA256。
4. 找到包含所下载文件的语言和名称的行，同一行中会显示预期的文件散列值。请确认此散列值与通过工具计算出的 SHA256 哈希值一致。

如果你使用最新版本的 Thunderbird 查看文件 SHA256SUM，并在 https://archive.mozilla.org 站点上查看该文件，并且哈希和匹配，则你的下载很有可能是正确和真实的。

验证下载文件的真实性（可选）

如果您还想检查是否查看了正确的 SHA256SUMS 文件（例如，因为您是从镜像下载了这些文件），您可以检查该文件是否带有 Mozilla 软件发布团队的数字签名。请按照以下步骤验证下载文件的真实性：

1. 请下载以下两个文件：SHA256SUMS 和 SHA256SUMS.asc

1. 可以使用 GnuPG 软件来校验签名，另外还需获取 Mozilla 用于给此文件签名的最新官方公钥。

1. • GnuPG 软件通常已经包含在 Linux 发行版中。对于其他操作系统，您应该能够找到描述如何安装和使用 GPG4WIN for Windows 或 GPGTools for macOS 的 使用文档。

1. • 使用 GnuPG 或类似软件导入 Mozilla 的公钥，通常会在 Mozilla 的安全博客上公布。在撰写本文档时，最新版本可以在
     此 Mozilla 安全博客 中找到。

1. 接下来通过以下命令，使用 GnuPG 经由 SHA256SUMS 文件中的数据对 SHA256SUMS.asc 文件中的签名进行校验：
   $ gpg --verify SHA256SUMS.asc
   

1. 然后，您将收到比较结果。在此示例中，有 8 行输出：

gpg: assuming signed data in 'SHA256SUMS'

gpg: Signature made Di 26 Sep 2023 20:49:02 CEST

gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274

<code>gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]

gpg: WARNING: This key is not certified with a trusted signature!

gpg: There is no indication that the signature belongs to the owner.

Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353

Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274

第 7 行和第 8 行告诉您使用哪个密钥创建数字签名。您可以将这些行上显示的指纹与 Mozilla 安全博客文章上显示的指纹进行比较。如果它们匹配，则表示您已成功验证 SHA256SUMS 文件。