Como verificar o hash (soma de verificação) / verificar a assinatura PGP do aplicativo Ledger Live

Carteiras de hardware, apesar de fornecerem a solução de armazenamento mais segura, muitos usuários ainda perdem suas moedas. Particularmente novatos e principalmente por causa de sua negligência. Eles caem nos golpes mais óbvios.

A primeira etapa que você precisa realizar para proteger sua criptografia é ficar longe de golpes de phishing.

Após a recente violação de dados no site da Ledger, campanhas regulares de phishing estão acontecendo no Twitter / YouTube, SMS e e-mail. Existem muitos relatos de usuários vítimas desses ataques de phishing.

Lembre-se de que o alvo principal dos hackers é sua frase-semente de recuperação. A maioria das técnicas de phishing se concentra em obter sua frase de recuperação.

Certifique-se de manter sua frase de recuperação de 24 palavras segura, privada e completamente offline. Nunca, jamais, compartilhe sua frase de recuperação de backup com ninguém. Também não guarde uma cópia digital. Não insira essas informações no seu computador ou smartphone ou na web. Não tire fotos e não imprima. Você só deve escrevê-los em um pedaço de papel ou em uma placa de metal. Você só precisará dessas informações no futuro para recuperar seus fundos, caso seu dispositivo seja perdido ou quebrado.

Você só deve inserir a frase de recuperação em uma carteira de hardware legítima. Veja como você pode verificar se o seu dispositivo Ledger é genuíno:

https://support.ledger.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine

Além de verificar a autenticidade do seu dispositivo, você também precisa garantir que está executando um aplicativo Ledger Live genuíno. Você pode fazer isso verificando o hash / assinatura de verificação do Ledger Live.

Aqui neste guia para iniciantes, vamos ver como verificar o hash (checksum) / verificar a assinatura PGP do Ledger Live.

Por que verificar o Ledger Live?

Alguns podem argumentar que verificar a autenticidade do Ledger Live não importa porque as chaves privadas estão armazenadas com segurança no dispositivo. É verdade. O ponto principal da carteira de hardware é que elas mantêm suas moedas seguras, mesmo quando operadas em um ambiente comprometido. Mas ainda assim você é altamente suscetível a ataques de phishing.

Por exemplo, digamos que você baixou o Ledger Live do link de e-mail que recebeu recentemente. Você pode não saber que é um aplicativo de carteira falso que foi adulterado por um terceiro malicioso até que verifique o software. Agora, apenas instalando um aplicativo malicioso, os hackers não podem roubar seus fundos de sua carteira de hardware. Mas este software comprometido pode enganar você de várias maneiras.

1. Um aplicativo de carteira falso pode pedir os detalhes de sua frase de recuperação de 24 palavras. Muitos usuários sabem que a frase de recuperação não deve ser inserida em nada além do dispositivo Ledger. Mas como dissemos, os novos usuários podem não estar cientes disso e seriam enganados por esta técnica.

Lembre-se de que o software Ledger Live nunca pedirá sua frase ou senha de recuperação. Se o aplicativo está pedindo sua frase de recuperação, é óbvio que é um aplicativo malicioso projetado para roubar suas moedas.

2. Um aplicativo de contabilidade comprometido terá backdoor e pode gerar um endereço intuitivo que imita seu endereço de destino.

Lembre-se de que antes de confirmar qualquer transação, verifique o endereço de destino em seu dispositivo Ledger.

Para se proteger contra tais modificações maliciosas, certifique-se de que você;

  1. Sempre baixe o Ledger ao vivo do site oficial.
  2. Verifique o aplicativo Ledger ao vivo antes de instalar.

Verificar o software é uma etapa básica de segurança

A carteira de hardware é um excelente começo. Mesmo assim, você precisa tomar todas as precauções para proteger suas criptomoedas contra práticas maliciosas.

Não apenas o aplicativo de carteira, mas isso deve ser feito para qualquer software que você instalar no seu computador, especialmente porque você está lidando com criptografia. Você precisa estar ciente de sua origem e verificar o software para garantir que seja autêntico.

Esta é uma prática padrão e, como um usuário de criptomoeda, você deve mantê-la como regra geral. Isso o protegerá bastante de todos os tipos de malware.

Anteriormente, explicamos como verificar o hash MD5 / SHA256 de uma carteira. Além disso, fizemos um tutorial sobre como verificar a assinatura da carteira Electrum.

O procedimento é o mesmo, exceto que hashes assinados do Ledger ao vivo usam SHA512.

Agora vamos ver como verificar o hash / assinatura antes de instalar o aplicativo Ledger Live?

Como verificar a soma de verificação do razão ao vivo?

Para cada nova versão, os hashes sha512sum para o razão ao vivo são publicados aqui: https://ledger-live-tools.now.sh/lld-signatures

https://github.com/LedgerHQ/ledger-live-desktop#signed-hashes

verificar o livro-razão binário ativo

Você pode verificar a autenticidade da instalação ao vivo do Ledger comparando seu hash sha512 com o disponível na página.

Essas informações não estão disponíveis na página oficial de download do site por um motivo. O hash armazenado no mesmo servidor que o binário não oferece nenhuma segurança. Se o servidor for hackeado, o arquivo ficará comprometido.

Verificando o hash do pacote de instalação:

Baixe a versão mais recente do aplicativo Ledger live para o seu computador. Depois de baixado, não instale ainda. Instalar apenas após verificação bem-sucedida.

pacote vivo de livro-razão

Aqui está como você pode verificar a soma de verificação no Windows, Linux e Mac.

  1. Janelas:

Vá para a pasta onde você tem o arquivo de download. Pressione SHIFT + clique com o botão direito e abra a janela do PowerShell. Agora digite o seguinte comando.

CertUtil -hashfile nomedoarquivo.exe sha512

Exemplo:

CertUtil -hashfile ledger-live-desktop-2.18.0-win.exe sha512

hashes assinados do livro razão

Isto irá devolver o seguinte resultado e dependendo da versão que você está executando o valor do hash irá mudar.

SHA512 hash de ledger-live-desktop-2.18.0-win.exe:

c7e2d95c9dd9d61ad53d6457933f4d970446465b94e9e108cb54fa7ef2eb95d6be70e92b345d34c311c9504687769b44b810586efa85ac013ae1446508f686d8

Copie e compare seu hash sha512 com o disponível nesta página: https://ledger-live-tools.now.sh/lld-signatures

sha512 checksum ledger

Se corresponder, você tem uma cópia original. Você pode ir em frente e instalá-lo

  1. Linux:

No Linux, abra a janela do Terminal e insira o seguinte código.

Sha512sum /

Exemplo:

sha256sum /ledger-live-desktop-2.18.0-linux-x86_64.AppImage

  1. Mac:

No Mac, abra a janela do Terminal e insira a seguinte linha.

shasum -a 512 nome do arquivo

Exemplo:

shasum -a 512 ledger-live-desktop-2.18.0-mac.dmg

Depois de concluir a verificação de hashes sha512sum, você pode prosseguir com a instalação.

Verificação de assinatura PGP?

As assinaturas PGP são uma ótima maneira de garantir a segurança e a confiança dos arquivos. Mas não há referência a assinaturas PGP disponíveis na página de download do site do livro-razão ou na versão GitHub.

Depois de publicar a assinatura PGP, atualizaremos este artigo e explicaremos como verificar a assinatura PGP do Ledger Live.