Hvordan verifisere Electrum signatur? Sjekk om electrum-lommeboken din er legitim

Electrum er en av de mest populære Bitcoin-lommebøkene som er tilgjengelig for Windows, Mac, Linux og Android. Det er trygt, raskt og enkelt å bruke. Hvem som helst kan laste ned lommeboken og begynne å bruke den med en gang. Dessuten er lommeboken åpen kildekode. Dette er en grunn til at flere brukere stoler på og bruker electrum til å lagre og administrere Bitcoins.

Last ned electrum lommebok fra den offisielle nettsiden: https://electrum.org/#download
Du kan også laste ned og finne kildekoden til programvaren på deres GitHub-side: https://github.com/spesmilo/electrum

Nå før du installerer lommeboken eller oppdaterer electrum, må du bekrefte signaturen og kontrollere ektheten til electrum-binærfiler / kilder.

Dette bør gjøres hver gang du laster ned eller oppdaterer din eksisterende lommebok. Ikke bare electrum lommebok, men all programvare du installerer på datamaskinen din. Spesielt Bitcoin- og kryptovaluta-lommebøker som håndterer dine private nøkler, bør verifiseres før du bruker dem.

Her i denne nybegynnerveiledningen viser vi deg hvordan du bekrefter elektrumsignaturen. Men la oss først forstå hvorfor brukere skal verifisere ektheten til nedlasting av lommeboken før de bruker dem.

Hvorfor å bekrefte lommeboken?

Hovedårsaken til at du bør verifisere ektheten til electrum eller hvilken som helst lommebokprogramvare, er å redusere risikoen for å kjøre skadelig programvare.

Siden electrum og annen Bitcoin-lommebokprogramvare er åpen kildekode, er de svært utsatt for phishing-angrep. En hacker kan enkelt endre kildekoden og distribuere programvaren over nettet som ser identisk ut som den originale lommeboken. Den som laster ned og bruker den, har stor risiko for å miste Bitcoins.

Dette har skjedd tidligere der hackeren stjal 100-tallet Bitcoin fra electrum-brukere ved å distribuere en ondsinnet kopi av electrum-lommeboken. Alle brukere som har lastet ned og installert den falske lommeboken, har mistet alle sine Bitcoins.

Men vent? Jeg har lastet ned electrum fra det offisielle nettstedet electrum.org. Skulle jeg fortsatt trenge å bekrefte PGP-signaturer?

Ja, hva om hackeren får tilgang til serveren og endrer nedlastingsfilene. Dette er grunnen til at selv om du laster ned programvare fra offisiell kilde, bør du bekrefte signaturer og sjekke om lommeboken er legitim eller ikke.

Verifisere hash-filer og GPG-signaturer

Så hvordan bekrefter du at lommebokfilen du lastet ned er legitim og ikke endres av en hacker? Takket være kryptografi. Det er to måter å verifisere integriteten og ektheten til lommebokprogramvaren på.

Verifisere hashes av programvarefilen.
Bekrefte GPG-signaturer.

De fleste utviklere tilbyr både hashes og GPG-signaturer for å tillate brukere å identifisere om de installerer en ekte kopi av programvaren eller en modifisert skadelig.

Tenk på hashes som en uforanderlig, unik identifikator som bare er tilordnet en bestemt fil. Hvis hackeren endrer programfilene, vil den ikke stemme overens med hashverdien som ble gitt av den opprinnelige utvikleren. I så fall kan du komme til en konklusjon at den nedlastede programvaren er falsk og ødelagt.

Vi har allerede laget en veiledning om hvordan du verifiserer MD5, SHA256 sjekksum for en lommebok / programvare

Men problemet med den metoden er at hackeren kan lage en gyldig hash for en falsk versjon og publisere den online. Dette gir ikke sikkerhet i det hele tatt.

Dette er grunnen til at electrum og andre lommebokutviklere ikke publiserer hashes. I stedet signerer og deler de sine digitale signaturer.

Bekrefte GPG-signaturer

GPG refererer kort og godt til GNU Privacy Guard er en kryptografi basert på nøkkelpar. GPG brukes til å kryptere eller signere data for å sikre ektheten.

Tenk på GPG digital signatur som en håndskrevet signatur, men med den ekstra fordelen av å være manipulasjonsresistent.

Så ideen er; før utgivelsen av binærfiler til publikum signerer utvikleren nedlastingsfilene med sin private nøkkel. Brukere kan deretter bekrefte nedlastingen ved å bruke utviklerens offentlige nøkkel. Hvis den nedlastede filen endres eller manipuleres, mislykkes signaturbekreftelsen.

For eksempel er Electrum-lommebokilder og kjørbare filer signert av ThomasV. Brukere som laster ned programvaren for electrum lommebok, vil bruke ThomasVs offentlige nøkkel til å sjekke signaturen og verifisere fingeravtrykket. Hvis filen er smidd eller endret, vil signaturbekreftelsen mislykkes og fingeravtrykket stemmer ikke overens.

Ok! La oss nå se hvordan vi kan verifisere signaturen til electrum-lommeboken.

Hvordan verifisere elektrumsignatur

Denne opplæringen beskriver hvordan du verifiserer elektrumsignaturer på Windows. For Mac kan du følge den samme veiledningen. Trinnene er ganske like Windows. Bare applikasjonen varierer. For å bekrefte signaturer i Windows bruker vi Gpg4win. I Mac må du bruke den populære GPG-pakken for implementering av PGP.

Vi lager en egen guide for Android, Linux og Tails OS.

Nedlasting:

Windows Gpg4win: https://www.gpg4win.org/
Mac GPG-pakke: https://gpgtools.org/

1. Last ned og installer Gpg4win

Gå videre og last ned Gpg4win til din Windows-PC. Når du har lastet den ned, må du kontrollere integriteten til den nedlastede filen.

Det er valgfritt, men det er bedre at du bekrefter det før du installerer.

For å bekrefte om kopien av Gpg4win er autentisk, trenger du ikke å bekrefte signaturene. For å gjøre det må vi installere Gpg4win. I stedet kan du bare bekrefte installatørens hash-verdi, som du finner den her: https://gpg4win.org/package-integrity.html

Se denne veiledningen hvis du ikke er sikker på hvordan du skal verifisere SHA256-kontrollsummen.

Ok! Når du har sjekket integriteten til det nedlastede gpg4win-installasjonsprogrammet, fortsett og installer det.

installer kleopatra

Fjern merket for alle andre komponenter unntatt Kleopatra når du installerer.

Kleopatra er en universell kryptogrensesnitt og en sertifikatleder. Du kan opprette og administrere OpenPGP-sertifikater.

Når denne installasjonsveiviseren er fullført, bør Kleopatra starte automatisk. Hvis ikke, så gå til installasjonskatalogen Gpg4win >> bin og åpne kleopatra.exe.

gpg4win kleopatra

La det være åpent og begynn å laste ned electrum-lommeboken og PGP-signaturen (Pretty Good Privacy).

2. Last ned Electrum-installasjonsprogrammet &signatur

Gå videre og last ned nå electrum-kjørbare filer til din PC. Det kan være bærbar versjon, Windows-installasjonsprogram eller en frittstående kjørbar.

elektrumsignatur

Uansett hva du laster ned, sørg for at du også laster ned den riktige PGP-signaturen som er tilgjengelig ved siden av den.

Tips: Høyreklikk signaturen og klikk lagre lenke som. Lagre signaturen i samme katalog som installasjonsprogrammet.

Nå skal du ha to filer. Lommebokapplikasjonen og den åpne PGP-tekstfilen.

electrum asc-fil

Hvis du for eksempel lastet ned electrum-4.0.4-portable.exe, bør du også ha electrum-4.0.4-portable.exe.asc.

Ikke installer eller åpne electrum ennå! Vi skal ennå bekrefte signaturen.

3. Skaff deg ThomasV offentlig GPG-nøkkel

For å bekrefte elektrumsignaturen trenger du den offentlige GPG-nøkkelen for ThomasV

ThomasV (Thomas Voegtlin) er grunnleggeren og hovedutvikleren av Electrum-lommeboken. Electrum-binærfiler er signert med den offentlige nøkkelen til ThomasV.

Så for å bekrefte signaturen må du importere den offentlige nøkkelen til ThomasV.

Du finner ThomasVs gpg / pgp offentlig nøkkel koblet her på https://electrum.org/#download på toppen.

electrum offentlig nøkkel

Du finner den også her: https://github.com/spesmilo/electrum/blob/master/pubkeys/ThomasV.asc

Høyreklikk på lenken og lagre lenken som ThomasV.asc-fil til samme katalog der du allerede har lastet ned electrum exe og signaturfilen.

Ok! Nå har du den kjørbare filen, dens signatur og forfatterens PGP offentlige nøkkel. La oss nå bekrefte nedlasting av elektrum.

Bekreft nedlasting av elektrum ved å bekrefte GPG-signaturer

Først må vi importere den offentlige nøkkelen til underskriveren.

1. Importer utviklerens PGP offentlige nøkkel

Åpne Gpg4wins signatur / sertifikatverktøy Kleopatra.

Gå nå til filen >> importer og åpne ThomasV.asc-filen.

bekreftelse av fingeravtrykk

Når den offentlige nøkkelen er importert, åpnes et popup-vindu med følgende melding:

“For å merke sertifikatet som gyldig (grønt) må det sertifiseres.

Sertifisering betyr at du sjekker fingeravtrykket.

Noen forslag til å gjøre dette er:

En telefonsamtale til personen.

Bruke et visittkort.

Bekrefte det på et pålitelig nettsted. ”

I utgangspunktet må vi sjekke om fingeravtrykket er riktig. Bare klikk nei og fortsett til neste trinn.

2. Validering av fingeravtrykk

Thomas Voegtlins PGP-fingeravtrykk:

PGP fingeravtrykk: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
Fingeravtrykk uten plass: 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6

Gyldig kilde:

https://www.youtube.com/watch?v=7D83IpdiF-U

Vi må nå bekrefte om dette fingeravtrykket stemmer overens med den offentlige nøkkelen som vi nettopp importerte.

For å gjøre det høyreklikker du utviklerens importerte sertifikat på Kleopatra og klikker på detaljer. Nederst skal du se fingeravtrykket.

offentlig nøkkel fingeravtrykk

Hvis den stemmer overens med den som deles om, er nøkkelen legitim. La oss nå bekrefte lommeboksignaturen.

3. Bekreft lommebetsignaturen

For å bekrefte signaturen, klikk på Dekrypter / bekreft på Kleopatra-verktøylinjen. Gå nå til lommebokmappen, og åpne enten .exe-filen eller .asc-filen.

dekryptere bekreft signatur

Kleopatra vil nå bekrefte både filene og gi resultater.

Etter vellykket bekreftelse bør du se følgende vindu.

bekreft signatur

Alle operasjoner fullført:

verifisert ‘electrum.4.0.4-setup.exe’ med ‘electrum.4.0.4-setup.exe.asc’: Dataene kunne ikke bekreftes.

Signatur opprettet torsdag 15. oktober 2020 23:51:39

Med sertifikat:

Thomas Voegtlin (https://electrum.org) (2BD5 824B 7F94 70E6)

Den brukte nøkkelen er ikke sertifisert av deg eller noen pålitelig person.

Merk: Versjonsnummeret og datoen kan variere på slutten.

Ikke bekymre deg for den dristige teksten som sier “Dataene kunne ikke bekreftes”. Det betyr ganske enkelt at du ikke har klarert ThomasVs nøkkel manuelt, som vi viser i neste trinn.

Du kan trygt ignorere denne advarselen. Det som betyr noe er fingeravtrykket.

Klikk på vis revisjonslogg, og du bør se det primære nøkkelfingeravtrykket. Hvis det stemmer overens, er det en gyldig signatur. Du har bekreftet electrum-nedlastingen, og du kan nå trygt installere eller oppdatere lommeboken.

For eksempel hvis signaturen er ugyldig, vil Kleopatra etter bekreftelse advare deg med en stor rød melding som denne med følgende melding:

ugyldig dårlig signatur

Signaturen er ugyldig: Dårlig signatur

Valgfritt: Sertifisering av utviklerens nøkkel

Nå som du har validert signatur og bekreftet fingeravtrykk, kan du fortsette og stole på electrum-utviklerens offentlige nøkkel.

For å gjøre det, høyreklikk sertifikatet og klikk sertifiser.

Du bør se følgende melding:

For å sertifisere andre sertifikater, må du først opprette et OpenPGP-sertifikat for deg selv.

Ønsker du å lage en nå?

nytt nøkkelpar

Klikk Ja. Skriv deretter inn navnet ditt, e-postadressen din og klikk på Opprett. Nå blir du bedt om å angi passordfrasen for å beskytte den nye nøkkelen.

Velg et passord og klikk på Opprett for å opprette et nytt nøkkelpar. Når du er ferdig, klikker du på ferdig og klikker på bekreft. Skriv inn passordet igjen, og du får se en melding som sier sertifisert.

Du har sertifisert den offentlige nøkkelen til ThomasV.

Nå hvis du dekrypterer / verifiserer electrum-filen, får du følgende melding:

sertifikatet klarert

Bekreftet:

Gyldig signatur av [email protected]

Signaturen er gyldig og sertifikatets gyldighet er fullstendig klarert.

Det er det! Du har bekreftet signaturen til electrum-lommeboken din. Du er god å installere.

Merk: Nøkkelen du opprettet for deg selv er din personlige nøkkel.

Neste gang du laster ned eller oppdaterer electrum, trenger du ikke å importere ThomasVs offentlige nøkkel igjen, ettersom du allerede har importert og validert sertifikatet.

Bare se etter gyldig signatur. Det er alt det betyr noe.

Også i fremtiden kan ikke Thomas V være vedlikeholder av electrum-klient. I så fall må du importere den offentlige nøkkelen til utvikleren som vedlikeholder prosjektet.

Håper du har lært hvordan du bekrefter GPG-signaturer, og at du nå vet hvordan du sjekker nedlasting av elektrum er legitimt.

Dette er nøyaktig hvordan du bekrefter signaturer for i utgangspunktet hvilken som helst programvare. Det er viktig at du bekrefter digitale signaturer før du installerer programvare.

Lignende guider:

Hvorfor antivirus- og Windows-forsvarer blokkerer / fjerner lommebok
Hvordan signere melding med Bitcoin-adresse?
Lær mer om electrum lommebokfrø
Hvordan importere private nøkler til electrum
Backup electrum lommebok