Facebook
PinterestComo verificar a soma de verificação MD5, SHA256 de uma carteira / software de criptomoeda
Recentemente, um de nossos usuários perguntou “Na página do Github, vejo vários arquivos do Windows 64; um arquivo .exe, um arquivo .md5sum e um arquivo .sha256sum; qual devo baixar? ” Dissemos a eles para baixar o arquivo .exe ou o arquivo .zip, que é maior. Os que são maiores em tamanho de arquivo são os arquivos de carteira reais e o resto são apenas somas de verificação. Bem! Mas o que são todos esses arquivos MD5sum e SHA256sum e por que os desenvolvedores colocam esses arquivos ao lado dos arquivos para download?
Hash MD5 e SHA256
SHA256sum e MD5sum são programas que implementam algoritmos hash SHA256 e MD5, respectivamente, que são usados principalmente para confirmar a integridade e autenticidade do arquivo.
Tanto MD5 quanto SHA256 são dois algoritmos de hash diferentes e cabe aos desenvolvedores decidir qual hash fornecer na página de download. Como você pode ver acima; os desenvolvedores do projeto Ravencoin forneceram hash MD5 e hash SHA256 para verificar o arquivo de download da carteira. Mas isso não é algo que você encontrará na página de download de todos os outros softwares de carteira de criptomoeda. Devido a falhas de segurança no algoritmo MD5, a maioria dos desenvolvedores não fornece hash MD5. Atualmente, apenas os valores de hash SHA256 estão sendo amplamente usados.
No site do Monero, você deve ter notado os hashes SHA256 listados ao lado do software.
Enquanto alguns desenvolvedores criam e distribuem hashes junto com cada versão de software; alguns desenvolvedores assinam digitalmente cada nova versão do pacote instalador com a assinatura oficial do desenvolvedor.
No núcleo do Bitcoin, você encontrará algo chamado assinaturas de liberação ou, em outras palavras, também são chamadas de hashes de liberação. Eles são arquivos ASC que geralmente contêm hash SHA256 e uma assinatura PGP.
Basta baixar o arquivo e abri-lo usando o Notepad ou preferencialmente no Notepad ++. Você verá uma sequência aleatória de letras e números semelhantes a este.
—–BEGIN PGP ASSIGNED MESSAGE—–
Hash: SHA256
5659c436ca92eed8ef42d5b2d162ff6283feba220748f9a373a5a53968975e34 bitcoin-0.17.1-aarch64-linux-gnu.tar.gz
aab3c1fb92e47734fadded1d3f9ccf0ac5a59e3cdc28c43a52fcab9f0cb395bc bitcoin-0.17.1-arm-linux-gnueabihf.tar.gz
b1e1dcf8265521fef9021a9d49d8661833e3f844ca9a410a9dd12a617553dda1 bitcoin-0.17.1-i686-pc-linux-gnu.tar.gz
6aa567381b95a20ac96b0b949701b04729a0c5796c320481bfa1db22da25efdb bitcoin-0.17.1-osx64.tar.gz
e3d785d800b71d277959d15b2c2b33d44dd72c1288e559928a40488dd935c949 bitcoin-0.17.1-osx.dmg
3e564fb5cf832f39e930e19c83ea53e09cfe6f93a663294ed83a32e194bda42a bitcoin-0.17.1.tar.gz
e9245e682126ef9fa4998eabbbdd1c3959df811dc10df60be626a5e5ffba9b78 bitcoin-0.17.1-win32-setup.exe
6464aa2d338f3697950613bb88124e58d6ce78ead5e9ecacb5ba79d1e86a4e30 bitcoin-0.17.1-win32.zip
fa1e80c5e4ecc705549a8061e5e7e0aa6b2d26967f99681b5989d9bd938d8467 bitcoin-0.17.1-win64-setup.exe
1abbe6aa170ce7d8263d262f8cb0ae2a5bb3993aacd2f0c7e5316ae595fe81d7 bitcoin-0.17.1-win64.zip
53ffca45809127c9ba33ce0080558634101ec49de5224b2998c489b6d0fc2b17 bitcoin-0.17.1-x86_64-linux-gnu.tar.gz
—–BEGIN PGP SIGNATURE—–
Versão: GnuPG v1.4.11 (GNU / Linux)
iQIcBAEBCAAGBQJcIeQ5AAoJEJDIAZ42wulk0NoQAIunIBT06bd2IhhxV / 48NUvf
sgTto4qYrKuX5Vkn + kfGuMBvNpmILi5CiVtnucWo7fKM6k5IPMyBQuE9iDVDzT9i
YemA9Au8Xy2aIGmVriuQoXxk8b17wAMS9uw362A3nXCz3kA + BWMDuMfBp3P3NPM /
PeOg6n04Q7seO / zNdT5i / ysaFB / XA8szrQxCRukSrXeGMUpv79UbcWOu3 + nfGit9
yYo / F2yO57Yacv597rKILlg29QxEVTqa5 + slMdwuU7NP5AdAcQV4EtFqoCOqM7C7
JL / zZWYnTywK3l0hOuCBJiY86izutWME5xgm7Eh3ORj + K6ZYT4iXw2JIkTdumeuS
X0WDE3ShH4rb35IaQX75FJLp5R7hLTXiNgng7b8Xhy / 62bJ75Ob4HVVSLG1Lkhps
vtml10br + 78qXiofzk8zaAW6KaG7G9nbBa0hfDjUEsYzA6P5iWA + 53ykupc82HNa
ZT2gk + wWhNhZOd / ANheriM0eqm / ZlK7oydYRRtf9Tamk + XJgREU1x8cWlMZcCPEE
uIUzb7 / REvYSjwcwArYLCq / eFPfjQe7jcG2WexnpxxkKJBvu2v4zVw9LLUPll094
BAmfk34iJKhN2cGVhvjO0Q9GKk0B2HzvhD5xn1Hnlp + NbXVNbKonYvkB71D3GY4W
t / eRyv7Erfi4dhHf + 8oQ
= UEoM
—–ASSINATURA DE END PGP—–
Esses são hash criptográficos e essas informações são fornecidas para que os usuários verifiquem a integridade do arquivo. Os desenvolvedores de criptomoedas e, muitas vezes, sites indicam que os usuários devem verificar a autenticidade do arquivo de download antes de usá-lo. No entanto, a maioria dos usuários não se importa ou não tem certeza do que fazer com essas informações. Então decidimos fazer um tópico sobre isso. Aqui neste guia para iniciantes, mostraremos como validar somas de verificação (apenas SHA256 hash e MD5 hash e não as assinaturas PGP).
Mas espere!? De qualquer forma, estou baixando a carteira da fonte oficial, então por que devo verificar se o download da carteira é autêntico? Além disso, o que é a soma de verificação e como a verificação da soma de verificação ajuda?
O que significa checksum e como funciona?
Como a palavra implica, “checksum” significa verificar algo ou verificar a soma. A string de soma de verificação é um valor hash aleatório criado a partir da verificação do conteúdo do programa. Os desenvolvedores geralmente criam e distribuem essas cadeias de verificação de soma no lançamento de cada software de carteira. Por que?
Um dos principais problemas e preocupações entre os usuários de criptomoedas é a segurança e a confiança. Ao baixar arquivos online, não podemos ter 100% de certeza de que o arquivo é original; mesmo que você tenha baixado da fonte oficial. Há chances de um terceiro modificar o arquivo em trânsito ou hackear o servidor onde o arquivo está hospedado e substituí-lo por uma versão maliciosa. Mas o problema é o seguinte: se terceiros tentarem alterar o software, mesmo que seja 1 bit, o valor do hash de saída da string de soma de verificação será completamente diferente daquele fornecido pelo desenvolvedor. Ao fornecer somas de verificação, os usuários podem verificar e certificar-se de que baixaram a cópia legítima do software de carteira publicado pelo desenvolvedor.
Uma das maneiras padronizadas de determinar se um arquivo de programa foi modificado de seu estado original ou não é olhando seu valor hash (verificação de checksum). Simplesmente calcule a soma de verificação do software e compare-a com aquela compartilhada pelo desenvolvedor. Se for igual, o arquivo é autêntico; caso contrário, o download está corrompido ou foi adulterado.
Verificar o hash dos arquivos de download antes de usá-los geralmente é uma boa prática de segurança. Se você não tiver certeza de como verificar a soma de verificação, siga o guia abaixo.
Como verificar a soma de verificação (MD5 / SHA256) no Windows, Linux & Mac?
Para explicar melhor as coisas; aqui neste tutorial, verificaremos a soma de verificação da carteira da GUI do Monero para garantir que é realmente o arquivo correto. Você pode usar as mesmas etapas abaixo para verificar a soma de verificação de qualquer arquivo de download de carteira de criptomoeda.
Primeiro baixe o arquivo de carteira ou software para o qual deseja validar a soma de verificação.
Janelas:
Navegue até a pasta de downloads ou o local onde você baixou o arquivo. Agora SHIFT + clique com o botão direito e clique para abrir a janela do PowerShell aqui, que abrirá o prompt de comando.
Digite “dir” sem as aspas e pressione Enter, que exibirá a lista de todos os arquivos e pastas dentro desse diretório.
Agora realce o arquivo para o qual deseja verificar a soma de verificação e clique em CTRL + C para copiar. Em seguida, digite o seguinte comando de acordo para verificar o hash MD5 e o hash SHA256.
MD5: CertUtil -hashfile nome do arquivo MD5
SHA256: CertUtil -hashfile nome do arquivo SHA256 (Exemplo: CertUtil -hashfile monero-gui-win-x64-v0.14.0.0.zip SHA256)
Uma vez feito isso, pressione Enter. A janela de comando agora exibirá o valor de hash do arquivo, dependendo do algoritmo de hash que você escolheu. Se você escolheu o algoritmo SHA256, ele exibirá o hash SHA256. Se você escolheu o algoritmo MD5, ele exibirá o hash MD5.
Linux:
O procedimento é o mesmo para Linux e Mac, exceto que você não abre o prompt de comando aqui. Em vez disso, usaremos a janela do terminal.
SHA256: sha256sum / | MD5: md5sum /
Mac: shasum -a 256 nome do arquivo
Agora compare o valor do hash gerado na janela de comando com o valor do hash distribuído pelo desenvolvedor da carteira. Basta copiá-los e verificar. Se você obteve a sequência correta, o arquivo de carteira é legítimo. Você pode ir em frente e instalá-lo agora. No entanto, se eles não corresponderem, não instale o arquivo. O arquivo de download está corrompido ou pode ser malicioso. Certifique-se de excluir o arquivo, baixe-o novamente e valide a soma de verificação para garantir que o resultado da validação seja positivo.
Observação: Os desenvolvedores costumam postar valores de hash dos instaladores de carteira para download em seu site e no Github. O que você precisa observar é que cada valor de hash é único e difere para cada versão. Portanto, é importante que você verifique a integridade do software da carteira sempre que fizer download de uma nova versão. Desta forma, você pode ter certeza de que o software de carteira que está usando é uma cópia genuína.
Assinaturas digitais: assinaturas GPG / PGP
Mas espere!? E se o site estiver comprometido e o hacker conseguir alterar o arquivo de carteira e os valores de hash de acordo? Isso acontece e é por isso que a maioria dos desenvolvedores não publica os valores de hash e os binários no mesmo local. Além disso, as somas de verificação SHA256 e MD5 são algo que as pessoas usaram nos primeiros dias. Atualmente, o PGP está sendo amplamente usado, o que é uma forma mais segura de verificar a integridade do arquivo. Além do hash SHA256, alguns desenvolvedores publicam hashes assinados por PGP do instalador da carteira. Alguns, por outro lado, fornecem apenas assinaturas GPG.
Em breve, em um artigo separado, cobriremos mais sobre GPG e verificação de assinaturas digitais.