Come controllare l’hash (checksum) / verificare la firma PGP dell’app Ledger Live

Portafogli hardware, nonostante forniscano la soluzione di archiviazione più sicura, molti utenti perdono ancora le loro monete. Soprattutto i neofiti ed è principalmente a causa della loro negligenza. Cadono per le truffe più ovvie.

Il primo passo che devi compiere per proteggere la tua crittografia è stare lontano dalle truffe di phishing.

Dopo la recente violazione dei dati sul sito Web di Ledger, sono in corso regolari campagne di phishing su Twitter / YouTube, SMS ed e-mail. Ci sono molte segnalazioni di utenti vittime di questi attacchi di phishing.

Ricorda che l’obiettivo principale degli hacker è la tua frase seme di recupero. La maggior parte delle tecniche di phishing si concentrano sull’ottenimento della frase di recupero.

Assicurati di mantenere la tua frase di recupero di 24 parole sicura, privata e completamente offline. Non condividere mai la tua frase di ripristino del backup con nessuno. Inoltre non conservare una copia digitale. Non inserire queste informazioni sul tuo computer o smartphone o sul web. Non scattare foto e non stampare. Dovresti scriverli solo su un pezzo di carta o su una piastra di metallo. Avrai bisogno di queste informazioni solo in futuro per recuperare i tuoi fondi nel caso in cui il tuo dispositivo venga perso o rotto.

È necessario inserire la frase di ripristino solo su un portafoglio hardware legittimo. Ecco come puoi verificare se il tuo dispositivo Ledger è autentico:

https://support.ledger.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine

Oltre a verificare l’autenticità del tuo dispositivo, devi anche assicurarti di eseguire un’applicazione Ledger Live autentica. Puoi farlo controllando l’hash / verificando la firma di Ledger Live.

Qui in questa guida per principianti vediamo come controllare l’hash (checksum) / verificare la firma PGP di Ledger Live.

Perché verificare Ledger Live?

Alcuni potrebbero obiettare che la verifica dell’autenticità di Ledger Live non è importante perché le chiavi private sono archiviate in modo sicuro sul dispositivo. È vero. L’intero punto del portafoglio hardware è che mantengono le tue monete al sicuro anche se utilizzate in un ambiente compromesso. Ma sei comunque molto suscettibile agli attacchi di phishing.

Ad esempio, supponiamo che tu abbia scaricato Ledger Live dal collegamento e-mail che hai ricevuto di recente. Potresti non sapere che si tratta di un’applicazione di portafoglio falsa che viene manomessa da una terza parte dannosa finché non verifichi il software. Ora, solo installando un’app dannosa, gli hacker non possono raccogliere i tuoi fondi dal tuo portafoglio hardware. Ma questo software compromesso può ingannarti in molti modi.

1. Un’applicazione di portafoglio falso potrebbe chiedere i dettagli della tua frase di recupero di 24 parole. Molti utenti sanno che la frase di ripristino non deve essere inserita su nient’altro che sul dispositivo Ledger. Ma come abbiamo detto, i nuovi utenti potrebbero non esserne consapevoli e sarebbero stati ingannati da questa tecnica.

Ricorda che il software Ledger Live non chiederà mai la tua frase o passphrase di ripristino. Se l’applicazione richiede la tua frase di ripristino, è ovvio che si tratta di un’app dannosa progettata per rubare le tue monete.

2. Un’applicazione live di libro mastro compromessa avrà una backdoor e potrebbe generare un vanity address che imita il tuo indirizzo di destinazione.

Ricorda che prima di confermare qualsiasi transazione controlla l’indirizzo di destinazione sul tuo dispositivo Ledger.

Per proteggerti da tali modifiche dannose assicurati di:

  1. Scarica sempre Ledger live dal sito ufficiale.
  2. Verifica l’app live di Ledger prima dell’installazione.

La verifica del software è un passaggio di sicurezza di base

Il portafoglio hardware è un ottimo inizio. Ma devi comunque prendere tutte le precauzioni per proteggere le tue criptovalute da pratiche dannose.

Non solo un’applicazione wallet, ma dovrebbe essere eseguita su qualsiasi software che installi sul tuo computer, soprattutto perché hai a che fare con la crittografia. È necessario essere consapevoli della sua origine e verificare che il software sia autentico.

Questa è una pratica standard e come utente di criptovaluta dovresti mantenerla come regola generale. Questo ti proteggerà notevolmente da tutti i tipi di malware.

In precedenza abbiamo spiegato come controllare l’hash MD5 / SHA256 di un portafoglio. Inoltre, abbiamo realizzato un tutorial sulla verifica della firma del portafoglio electrum.

La procedura è la stessa eccetto che gli hash firmati dal vivo di Ledger utilizzano SHA512.

Ora vediamo come controllare hash / firma prima di installare l’app Ledger Live?

Come verificare il checksum di Ledger in tempo reale?

Per ogni nuova versione gli hash sha512sum per ledger live sono pubblicati qui: https://ledger-live-tools.now.sh/lld-signatures

https://github.com/LedgerHQ/ledger-live-desktop#signed-hashes

verifica binario dal vivo del libro mastro

Puoi verificare l’autenticità dell’installazione live di Ledger confrontando il suo hash sha512 con quello disponibile sulla pagina.

Queste informazioni non sono disponibili sulla pagina di download ufficiale del sito Web per un motivo. L’hash archiviato sullo stesso server del file binario non fornisce alcuna sicurezza. Se il server viene violato entrambi i file saranno compromessi.

Verifica dell’hash del pacchetto di installazione:

Scarica l’ultima versione dell’app Ledger live sul tuo computer. Una volta scaricato, non installarlo ancora. Installa solo dopo aver verificato con successo.

pacchetto live ledger

Ecco come puoi verificare il checksum su Windows, Linux e Mac.

  1. Finestre:

Vai alla cartella in cui hai il file di download. Premi MAIUSC + clic destro e apri la finestra di PowerShell. Ora inserisci il seguente comando.

CertUtil -hashfile nomefile.exe sha512

Esempio:

CertUtil -hashfile ledger-live-desktop-2.18.0-win.exe sha512

hash firmati da libro mastro

Ciò restituirà il seguente risultato e, a seconda della versione in esecuzione, il valore hash cambierà.

Hash SHA512 di ledger-live-desktop-2.18.0-win.exe:

c7e2d95c9dd9d61ad53d6457933f4d970446465b94e9e108cb54fa7ef2eb95d6be70e92b345d34c311c9504687769b44b810586efa85ac013ae1446508f686d8

Copia questo e confronta il suo hash sha512 con quello disponibile in questa pagina: https://ledger-live-tools.now.sh/lld-signatures

registro del checksum sha512

Se corrisponde, hai una copia autentica. Puoi andare avanti e installarlo

  1. Linux:

Su Linux apri la finestra di Terminale e inserisci il seguente codice.

Sha512sum /

Esempio:

sha256sum /ledger-live-desktop-2.18.0-linux-x86_64.AppImage

  1. Mac:

Su Mac, apri la finestra Terminale e inserisci la seguente riga.

shasum -a 512 nome file

Esempio:

shasum -a 512 ledger-live-desktop-2.18.0-mac.dmg

Una volta completata la verifica degli hash sha512sum, puoi procedere con l’installazione.

Verifica della firma PGP?

Le firme PGP sono un ottimo modo per garantire la sicurezza e l’attendibilità dei file. Ma non vi è alcun riferimento alle firme PGP disponibili nella pagina di download del sito del registro o nella versione di GitHub.

Una volta pubblicata la firma PGP, aggiorneremo questo articolo e spiegheremo come verificare la firma PGP di Ledger Live.