Como verificar a assinatura Electrum? Verifique se sua carteira Electrum é legítima

Electrum é uma das carteiras Bitcoin mais populares que está disponível para Windows, Mac, Linux e Android. É seguro, rápido e simples de usar. Qualquer pessoa pode baixar a carteira e começar a usá-la imediatamente. Além disso, a carteira é de código aberto. Esta é uma das razões pelas quais mais usuários confiam e usam o Electrum para armazenar e gerenciar seus Bitcoins.

Baixe a carteira electrum do site oficial: https://electrum.org/#download
Além disso, você pode baixar e encontrar o código-fonte do software em sua página GitHub: https://github.com/spesmilo/electrum

Agora, antes de instalar a carteira ou atualizar o Electrum, você precisa verificar a assinatura e verificar a autenticidade dos binários / fontes do Electrum.

Isso deve ser feito sempre que você baixa ou atualiza sua carteira existente. Também não apenas carteira electrum, mas qualquer software que você instalar no seu computador. Especialmente Bitcoin e carteiras de criptomoedas que manipulam suas chaves privadas devem ser verificadas antes de usar.

Aqui neste guia para iniciantes, mostraremos como verificar a assinatura electrum. Mas primeiro vamos entender por que os usuários devem verificar a autenticidade dos downloads da carteira antes de usá-los.

Por que verificar a carteira?

A principal razão pela qual você deve verificar a autenticidade do Electrum ou de qualquer software de carteira é para reduzir o risco de execução de malware.

Como o electrum e outros softwares de carteira Bitcoin são de código aberto, são altamente suscetíveis a ataques de phishing. Um hacker pode modificar facilmente o código-fonte e distribuir o software pela web, que parece idêntico à carteira original. Quem faz o download e usa corre o risco de perder seus Bitcoins.

Isso já aconteceu anteriormente, quando o hacker roubou centenas de Bitcoins de usuários do Electrum ao distribuir uma cópia maliciosa da carteira do Electrum. Todos os usuários que baixaram e instalaram a carteira falsa perderam todos os seus Bitcoins.

Mas espere? Eu baixei o electrum do site oficial electrum.org. Ainda devo verificar as assinaturas PGP?

Sim, e se o hacker obtiver acesso ao servidor e modificar os arquivos de download. É por isso que mesmo que você baixe o software de uma fonte oficial, você deve verificar as assinaturas e verificar se a carteira é legítima ou não.

Verificar arquivos hash e assinaturas GPG

Então, como você verifica se o arquivo de carteira que você baixou é legítimo e não foi modificado por um hacker? Graças à criptografia. Existem duas maneiras de verificar a integridade e autenticidade do software de carteira.

Verificando os hashes do arquivo de software.
Verificando assinaturas GPG.

A maioria dos desenvolvedores fornece tanto os hashes quanto as assinaturas GPG para permitir que os usuários identifiquem se estão instalando uma cópia genuína do software ou um malicioso modificado.

Pense nos hashes como um identificador único e imutável que é atribuído apenas a um arquivo específico. Se, no caso, o hacker modificar os arquivos do programa, eles não corresponderão ao valor de hash fornecido pelo desenvolvedor original. Nesse caso, você pode chegar à conclusão de que o software baixado é falso e corrompido.

Já fizemos um tutorial sobre como verificar MD5, SHA256 checksum de uma carteira / software

Mas o problema desse método é que o hacker pode criar um hash válido para uma versão falsa e publicá-lo online. Isso não traz nenhuma segurança.

É por isso que o electrum e outros desenvolvedores de carteira não publicam hashes. Em vez disso, eles assinam e compartilham suas assinaturas digitais.

Verificando assinaturas GPG

Em resumo, GPG refere-se ao GNU Privacy Guard é uma criptografia baseada em pares de chaves. GPG é usado para criptografar ou assinar dados para garantir sua autenticidade.

Pense na assinatura digital GPG como uma assinatura escrita à mão, mas com o benefício adicional de ser resistente a adulteração.

Portanto, a ideia é; antes de liberar os binários para o público, o desenvolvedor assina os arquivos de download com sua chave privada. Os usuários podem então verificar o download usando a chave pública do desenvolvedor. Se o arquivo baixado for modificado ou adulterado, a verificação da assinatura falhará.

Por exemplo, fontes e executáveis de carteira Electrum são assinados por ThomasV. Os usuários que estão baixando o software de carteira electrum usarão a chave pública da ThomasV para verificar a assinatura e verificar a impressão digital. Se o arquivo for forjado ou modificado, a verificação da assinatura falhará e a impressão digital não corresponderá.

Bem! Vamos agora ver como verificar a assinatura da carteira electrum.

Como verificar a assinatura electrum

Este tutorial descreve como verificar assinaturas elétricas no Windows. Para Mac, você pode seguir o mesmo tutorial. As etapas são bastante semelhantes às do Windows. Apenas o aplicativo varia. Para verificar assinaturas no Windows, usaremos Gpg4win. No Mac, você precisa usar o popular pacote GPG de implementação de PGP.

Faremos um guia separado para os sistemas operacionais Android, Linux e Tails.

Download:

Windows Gpg4win: https://www.gpg4win.org/
Conjunto Mac GPG: https://gpgtools.org/

1. Baixe e instale o Gpg4win

Vá em frente e baixe Gpg4win para o seu PC com Windows. Depois de baixado, você precisa verificar a integridade do arquivo baixado.

É opcional, mas é melhor que você verifique antes de instalar.

Para verificar se a cópia do seu Gpg4win é autêntica, você não precisa verificar suas assinaturas. Porque para isso precisamos instalar o Gpg4win. Em vez disso, você pode apenas verificar o valor do hash do instalador, que pode ser encontrado aqui: https://gpg4win.org/package-integrity.html

Consulte este guia se você não tiver certeza de como verificar a soma de verificação SHA256.

Bem! Depois de verificar a integridade do instalador gpg4win baixado, vá em frente e instale-o.

instalar kleopatra

Ao instalar, desmarque todos os outros componentes, exceto Kleopatra.

Kleopatra é uma interface de usuário criptográfica universal e um gerenciador de certificados. Você pode criar e gerenciar certificados OpenPGP.

Assim que este assistente de instalação estiver concluído, o Kleopatra deverá iniciar automaticamente. Se não, vá para o diretório de instalação Gpg4win >> bin e abra o kleopatra.exe.

gpg4win kleopatra

Agora deixe-o aberto e comece a baixar a carteira electrum e sua assinatura PGP (Pretty Good Privacy).

2. Baixe o instalador Electrum &assinatura

Vá em frente e baixe agora os executáveis electrum para o seu PC. Pode ser uma versão portátil, instalador do Windows ou um executável autônomo.

assinatura de electrum

O que quer que você baixe, certifique-se de baixar também a assinatura PGP apropriada que está disponível ao lado dele.

Dica: Clique com o botão direito na assinatura e clique no link Salvar como. Salve a assinatura no mesmo diretório do instalador.

Agora você deve ter dois arquivos. O aplicativo de carteira e o arquivo de texto PGP aberto.

arquivo asc electrum

Por exemplo, se você baixou electrum-4.0.4-portable.exe, também deve ter electrum-4.0.4-portable.exe.asc.

Não instale ou abra o Electrum ainda! Ainda estamos para verificar a assinatura.

3. Obtenha a chave pública GPG da ThomasV

Para verificar a assinatura electrum, você precisa da chave GPG pública para ThomasV

ThomasV (Thomas Voegtlin) é o fundador e desenvolvedor líder da carteira Electrum. Binários Electrum são assinados com a chave pública ThomasV.

Portanto, para verificar a assinatura, você precisa importar a chave pública de ThomasV.

Você pode encontrar a chave pública gpg / pgp da ThomasVs com link aqui em https://electrum.org/#download no topo.

chave pública electrum

Você também pode encontrá-lo aqui: https://github.com/spesmilo/electrum/blob/master/pubkeys/ThomasV.asc

Clique com o botão direito no link e salve o link como arquivo ThomasV.asc no mesmo diretório onde você já baixou electrum exe e o arquivo de assinatura.

Bem! Agora você tem o arquivo executável, sua assinatura e a chave pública PGP do autor. Vamos agora verificar o seu download Electrum.

Verifique o download do electrum verificando as assinaturas GPG

Primeiro, precisamos importar a chave pública do signatário.

1. Importar a chave pública PGP dos desenvolvedores

Abra o utilitário de assinatura / certificado do Gpg4win, o Kleopatra.

Agora vá para o arquivo >> importar e abrir o arquivo ThomasV.asc.

verificação de impressão digital

Assim que a chave pública for importada, uma janela pop-up será aberta com a seguinte mensagem:

“Para marcar o certificado como válido (verde), ele precisa ser certificado.

Certificar significa que você verifica a impressão digital.

Algumas sugestões para fazer isso são:

Um telefonema para a pessoa.

Usando um cartão de visita.

Confirmando em um site confiável. ”

Basicamente, precisamos verificar se a impressão digital está correta. Basta clicar em não e prosseguir para a próxima etapa.

2. Validando a impressão digital

Impressão digital PGP de Thomas Voegtlin:

Impressão digital PGP: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
Impressão digital sem espaço: 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6

Fonte válida:

https://www.youtube.com/watch?v=7D83IpdiF-U

Precisamos agora verificar se esta impressão digital combina com a chave pública que acabamos de importar.

Para fazer isso, clique com o botão direito do mouse no certificado importado dos desenvolvedores no Kleopatra e clique em detalhes. Na parte inferior você deve ver a impressão digital.

impressão digital de chave pública

Se corresponder ao compartilhado sobre, a chave é legítima. Agora vamos verificar a assinatura da carteira.

3. Verifique a assinatura da carteira

Para verificar a assinatura clique em Descriptografar / Verificar na barra de ferramentas do Kleopatra. Agora navegue até a pasta wallet e abra o arquivo .exe ou o arquivo .asc.

descriptografar verificar assinatura

O Kleopatra irá agora verificar ambos os arquivos e produzir resultados.

Após a verificação bem-sucedida, você deve ver a seguinte janela.

verificar assinatura

Todas as operações concluídas:

verificado ‘electrum.4.0.4-setup.exe’ com ‘electrum.4.0.4-setup.exe.asc’: Os dados não puderam ser verificados.

Assinatura criada na quinta-feira, 15 de outubro de 2020, 23:51:39

Com certificado:

Thomas Voegtlin (https://electrum.org) (2BD5 824B 7F94 70E6)

A chave usada não é certificada por você ou qualquer pessoa de confiança.

Observação: O número da versão e a data podem variar no seu final.

Também não se preocupe com o texto em negrito que diz “Os dados não puderam ser verificados”. Significa simplesmente que você não confiou manualmente na chave de ThomasV, que mostraremos na próxima etapa.

Você pode ignorar com segurança esta mensagem de aviso. O que importa é a impressão digital.

Clique em mostrar registro de auditoria e você deverá ver a impressão digital da chave primária. Se corresponder, é uma assinatura válida. Você verificou o download do Electrum e agora pode instalar ou atualizar a carteira com segurança.

Por exemplo, se a assinatura for inválida, após a verificação, o Kleopatra irá avisá-lo com uma grande mensagem vermelha como esta com a seguinte mensagem:

assinatura inválida

A assinatura é inválida: assinatura inválida

Opcional: Certificação da chave do desenvolvedor

Agora que você validou a assinatura e verificou a impressão digital, pode seguir em frente e confiar na chave pública do desenvolvedor Electrum.

Para fazer isso, clique com o botão direito no certificado e clique em certificar.

Você deverá ver a seguinte mensagem:

Para certificar outros certificados, você primeiro precisa criar um certificado OpenPGP para você.

Você deseja criar um agora?

novo par de chaves

Clique em Sim. Em seguida, digite seu nome, e-mail e clique em criar. Agora você será solicitado a inserir a senha longa para proteger sua nova chave.

Escolha uma senha e clique em criar para criar um novo par de chaves com sucesso. Uma vez feito isso, clique em Concluir e clique em Certificar. Digite a senha novamente e você verá uma mensagem que diz certificado.

Você certificou com sucesso a chave pública da ThomasV.

Agora, se você descriptografar / verificar o arquivo electrum, receberá a seguinte mensagem:

certificado confiável

Verificado:

Assinatura válida por [email protected]

A assinatura é válida e a validade do certificado é totalmente confiável.

É isso! Você verificou com sucesso a assinatura de sua carteira Electrum. Você é bom para instalar.

Observação: A chave que você criou para si mesmo é a sua chave pessoal.

Da próxima vez, quando você baixar ou atualizar o Electrum, você não precisará importar a chave pública da ThomasV novamente, pois você já importou e validou o certificado.

Basta verificar se há uma assinatura válida. Isso é tudo que importa.

Também no futuro, Thomas V pode não ser o mantenedor do cliente electrum. Nesse caso, você precisa importar a chave pública do desenvolvedor que está mantendo o projeto.

Espero que você tenha aprendido como verificar assinaturas GPG e agora saiba como verificar se o download do Electrum é legítimo.

É exatamente assim que você verifica as assinaturas para basicamente qualquer software. É essencial que você verifique as assinaturas digitais antes de instalar qualquer software.

Guias semelhantes:

Por que o antivírus e o defensor do Windows bloqueiam / removem a carteira
Como assinar mensagem com endereço Bitcoin?
Saiba mais sobre electrum wallet seed
Como importar chaves privadas para o electrum
Carteira electrum reserva