Come verificare la firma di Electrum? Controlla se il tuo portafoglio electrum è legittimo

Electrum è uno dei portafogli Bitcoin più popolari disponibile per Windows, Mac, Linux e Android. È sicuro, veloce e semplice da usare. Chiunque può scaricare il portafoglio e iniziare a usarlo subito. Inoltre il portafoglio è open source. Questo è uno dei motivi per cui un numero maggiore di utenti si fida e utilizza electrum per archiviare e gestire i propri Bitcoin.

Scarica il portafoglio electrum dal sito ufficiale: https://electrum.org/#download
Inoltre puoi scaricare e trovare il codice sorgente del software nella loro pagina GitHub: https://github.com/spesmilo/electrum

Ora, prima di installare il portafoglio o aggiornare Electrum, è necessario verificare la firma e controllare l’autenticità dei file binari / sorgenti di Electrum.

Questo dovrebbe essere fatto ogni volta che scarichi o aggiorni il tuo portafoglio esistente. Inoltre, non solo il portafoglio electrum ma qualsiasi software installato sul tuo computer. Soprattutto i portafogli Bitcoin e criptovaluta che gestiscono le tue chiavi private dovrebbero essere verificati prima dell’uso.

In questa guida per principianti ti mostreremo come verificare la firma dell’elettrum. Ma prima cerchiamo di capire perché gli utenti dovrebbero verificare l’autenticità dei download del portafoglio prima di utilizzarli.

Perché verificare il portafoglio?

Il motivo principale per cui dovresti verificare l’autenticità di electrum o di qualsiasi software di portafoglio è ridurre il rischio di eseguire malware.

Poiché electrum e altri software di portafoglio Bitcoin sono open source, sono altamente suscettibili agli attacchi di phishing. Un hacker può facilmente modificare il codice sorgente e distribuire il software sul Web che sembra identico al portafoglio originale. Chi lo scarica e lo utilizza è ad alto rischio di perdere i propri Bitcoin.

Ciò è accaduto in precedenza quando l’hacker ha rubato centinaia di Bitcoin agli utenti di electrum distribuendo una copia dannosa del portafoglio di electrum. Tutti gli utenti che hanno scaricato e installato il fake wallet hanno perso tutti i loro Bitcoin.

Ma aspetta? Ho scaricato electrum dal sito web ufficiale electrum.org. Dovrei ancora verificare le firme PGP?

Sì, cosa succede se l’hacker ottiene l’accesso al server e modifica i file di download. Questo è il motivo per cui anche se scarichi software da una fonte ufficiale dovresti verificare le firme e controllare se il portafoglio è legittimo o meno.

Verifica dei file hash e delle firme GPG

Quindi come verificare che il file del portafoglio che hai scaricato sia legittimo e non sia stato modificato da un hacker? Grazie alla crittografia. Esistono due modi per verificare l’integrità e l’autenticità del software del portafoglio.

Verifica degli hash del file del software.
Verifica delle firme GPG.

La maggior parte degli sviluppatori fornisce sia gli hash che le firme GPG per consentire agli utenti di identificare se stanno installando una copia autentica del software o una dannosa modificata.

Pensa agli hash come a un identificatore univoco e immutabile assegnato solo a un particolare file. Se nel caso in cui l’hacker modifica i file di programma, non corrisponderà al valore hash fornito dallo sviluppatore originale. In tal caso si può giungere alla conclusione che il software scaricato è falso e danneggiato.

Abbiamo già realizzato un tutorial su come verificare MD5, checksum SHA256 di un portafoglio / software

Ma il problema con questo metodo è che l’hacker può creare un hash valido per una versione falsa e pubblicarlo online. Questo non porta alcuna sicurezza.

Questo è il motivo per cui electrum e altri sviluppatori di wallet non pubblicano hash. Invece firmano e condividono le loro firme digitali.

Verifica delle firme GPG

GPG in breve si riferisce a GNU Privacy Guard è una crittografia basata su coppie di chiavi. GPG viene utilizzato per crittografare o firmare i dati per garantirne l’autenticità.

Pensa alla firma digitale GPG come una firma scritta a mano, ma con l’ulteriore vantaggio di essere a prova di manomissione.

Quindi l’idea è; prima di rilasciare i binari al pubblico, lo sviluppatore firma i file di download con la propria chiave privata. Gli utenti possono quindi verificare il download utilizzando la chiave pubblica degli sviluppatori. Se il file scaricato viene modificato o manomesso, la verifica della firma avrà esito negativo.

Ad esempio, i sorgenti e gli eseguibili del portafoglio Electrum sono firmati da ThomasV. Gli utenti che scaricano il software del portafoglio electrum utilizzeranno la chiave pubblica di ThomasV per controllare la firma e verificare l’impronta digitale. Se il file viene contraffatto o modificato, la verifica della firma fallirà e l’impronta digitale non corrisponde.

Tutto a posto! Vediamo ora come verificare la firma del portafoglio Electrum.

Come verificare la firma dell’elettrum

Questo tutorial descrive come verificare le firme di Electrum su Windows. Per Mac puoi seguire lo stesso tutorial. I passaggi sono abbastanza simili a quelli di Windows. Solo l’applicazione varia. Per verificare le firme in Windows utilizzeremo Gpg4win. In Mac è necessario utilizzare la famosa suite GPG di implementazione di PGP.

Creeremo una guida separata per Android, Linux e Tails OS.

Scarica:

Windows Gpg4win: https://www.gpg4win.org/
Suite GPG per Mac: https://gpgtools.org/

1. Scarica e installa Gpg4win

Vai avanti e scarica Gpg4win sul tuo PC Windows. Una volta scaricato è necessario verificare l’integrità del file scaricato.

È opzionale ma è meglio verificarlo prima dell’installazione.

Per verificare se la copia del tuo Gpg4win è autentica non è necessario verificarne le firme. Perché per farlo dobbiamo installare Gpg4win. Invece puoi semplicemente verificare il valore hash del programma di installazione che puoi trovare qui: https://gpg4win.org/package-integrity.html

Fare riferimento a questa guida se non si è sicuri di come verificare il checksum SHA256.

Tutto a posto! Dopo aver verificato l’integrità del programma di installazione gpg4win scaricato, procedere e installarlo.

installa kleopatra

Durante l’installazione deseleziona tutti gli altri componenti tranne Kleopatra.

Kleopatra è una GUI crittografica universale e un gestore di certificati. Puoi creare e gestire certificati OpenPGP.

Una volta completata l’installazione guidata, Kleopatra dovrebbe avviarsi automaticamente. In caso contrario, vai alla directory di installazione Gpg4win >> bin e apri kleopatra.exe.

gpg4win kleopatra

Ora lascialo aperto e inizia a scaricare il portafoglio electrum e la sua firma PGP (Pretty Good Privacy).

2. Scarica il programma di installazione di Electrum &firma

Vai avanti e ora scarica gli eseguibili di Electrum sul tuo PC. Può essere una versione portatile, un programma di installazione di Windows o un eseguibile autonomo.

firma dell'elettrum

Qualunque sia il download, assicurati di scaricare anche la firma PGP appropriata che è disponibile accanto ad essa.

Mancia: Fare clic con il pulsante destro del mouse sulla firma e fare clic su Salva collegamento come. Salva la firma nella stessa directory del programma di installazione.

Ora dovresti avere due file. L’applicazione wallet e il file di testo PGP aperto.

file asc di electrum

Ad esempio, se hai scaricato electrum-4.0.4-portable.exe, dovresti anche avere electrum-4.0.4-portable.exe.asc.

Non installare o aprire ancora l’elettrum! Dobbiamo ancora verificare la firma.

3. Ottenere la chiave GPG pubblica ThomasV

Per verificare la firma di electrum è necessaria la chiave GPG pubblica per ThomasV

ThomasV (Thomas Voegtlin) è il fondatore e lo sviluppatore principale del portafoglio Electrum. I binari di Electrum sono firmati con la chiave pubblica di ThomasV.

Quindi per verificare la firma è necessario importare la chiave pubblica di ThomasV.

Puoi trovare la chiave pubblica ThomasVs gpg / pgp collegata qui a https://electrum.org/#download in cima.

chiave pubblica di electrum

Puoi trovarlo anche qui: https://github.com/spesmilo/electrum/blob/master/pubkeys/ThomasV.asc

Fare clic con il pulsante destro del mouse sul collegamento e salvare il collegamento come file ThomasV.asc nella stessa directory in cui è già stato scaricato electrum exe e il file della firma.

Tutto a posto! Ora hai il file eseguibile, la sua firma e la chiave pubblica PGP dell’autore. Ora verifichiamo il download di Electrum.

Verifica il download di Electrum verificando le firme GPG

Per prima cosa dobbiamo importare la chiave pubblica del firmatario.

1. Importare la chiave pubblica PGP degli sviluppatori

Apri l’utilità di firma / certificato di Gpg4win, Kleopatra.

Ora vai al file >> importare e aprire il file ThomasV.asc.

verifica dell'impronta digitale

Una volta importata la chiave pubblica, si aprirà una finestra popup con il seguente messaggio:

“Per contrassegnare il certificato come valido (verde), deve essere certificato.

Certificare significa controllare l’impronta digitale.

Alcuni suggerimenti per farlo sono:

Una telefonata alla persona.

Utilizzando un biglietto da visita.

Confermandolo su un sito web affidabile. “

Fondamentalmente dobbiamo verificare se l’impronta digitale è corretta. Basta fare clic su no e procedere al passaggio successivo.

2. Convalida dell’impronta digitale

Impronta digitale PGP di Thomas Voegtlin:

Impronta digitale PGP: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
Impronta digitale senza spazio: 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6

Fonte valida:

https://www.youtube.com/watch?v=7D83IpdiF-U

Dobbiamo ora verificare se questa impronta digitale corrisponde alla chiave pubblica che abbiamo appena importato.

Per farlo, fai clic con il pulsante destro del mouse sul certificato importato dagli sviluppatori su Kleopatra e fai clic su Dettagli. In basso dovresti vedere l’impronta digitale.

impronta digitale della chiave pubblica

Se corrisponde a quello condiviso su, la chiave è legittima. Ora controlliamo la firma del portafoglio.

3. Verifica la firma del portafoglio

Per verificare la firma, fare clic su Decrittografa / Verifica nella barra degli strumenti di Kleopatra. Ora vai alla cartella del portafoglio e apri il file .exe o il file .asc.

decrittografa verifica firma

Kleopatra ora verificherà entrambi i file e produrrà risultati.

Dopo aver verificato con successo dovresti vedere la seguente finestra.

verifica la firma

Tutte le operazioni completate:

verificato “electrum.4.0.4-setup.exe” con “electrum.4.0.4-setup.exe.asc”: non è stato possibile verificare i dati.

Firma creata giovedì 15 ottobre 2020 23:51:39

Con certificato:

Thomas Voegtlin (https://electrum.org) (2BD5 824B 7F94 70E6)

La chiave utilizzata non è certificata da te o da alcuna persona di fiducia.

Nota: Il numero di versione e la data possono variare da parte tua.

Inoltre, non preoccuparti per il testo in grassetto che dice “Non è stato possibile verificare i dati“. Significa semplicemente che non ti sei fidato manualmente della chiave di ThomasV che mostreremo nel passaggio successivo.

Puoi tranquillamente ignorare questo messaggio di avviso. Ciò che conta è l’impronta digitale.

Fai clic su mostra registro di controllo e dovresti vedere l’impronta digitale della chiave primaria. Se corrisponde, allora è una firma valida. Hai verificato il download di Electrum e ora puoi installare o aggiornare in sicurezza il portafoglio.

Ad esempio, se la firma non è valida, dopo la verifica Kleopatra ti avviserà con un grande messaggio rosso come questo con il seguente messaggio:

firma errata non valida

La firma non è valida: firma non valida

Facoltativo: certificazione della chiave dello sviluppatore

Ora che hai convalidato la firma e l’impronta digitale verificata, puoi procedere e fidarti della chiave pubblica dello sviluppatore di electrum.

A tale scopo, fare clic con il pulsante destro del mouse sul certificato e fare clic su certifica.

Dovresti vedere il seguente messaggio:

Per certificare altri certificati, devi prima creare un certificato OpenPGP per te stesso.

Vuoi crearne uno adesso?

nuova coppia di chiavi

Fare clic su Sì. Quindi inserisci il tuo nome, e-mail e fai clic su crea. Ora ti verrà chiesto di inserire la passphrase per proteggere la tua nuova chiave.

Scegli una password e fai clic su Crea per creare correttamente una nuova coppia di chiavi. Al termine, fai clic su Fine e fai clic su Certifica. Inserisci di nuovo la password e vedrai un messaggio che dice certificato.

Hai certificato con successo la chiave pubblica di ThomasV.

Ora, se decifri / verifichi il file electrum, riceverai il seguente messaggio:

certificato attendibile

Verificato:

Firma valida di [email protected]

La firma è valida e la validità del certificato è completamente attendibile.

Questo è tutto! Hai verificato con successo la firma del tuo portafoglio Electrum. Sei pronto per l’installazione.

Nota: La chiave che hai creato per te stesso è la tua chiave personale.

La prossima volta che scarichi o aggiorni Electrum non devi importare di nuovo la chiave pubblica di ThomasV poiché hai già importato e convalidato il certificato.

Controlla solo la firma valida. Questo è tutto ciò che conta.

Inoltre in futuro Thomas V potrebbe non essere il manutentore di electrum client. In tal caso è necessario importare la chiave pubblica dello sviluppatore che gestisce il progetto.

Spero che tu abbia imparato come verificare le firme GPG e ora sai come verificare che il download di Electrum sia legittimo.

Questo è esattamente il modo in cui verifichi le firme praticamente per qualsiasi software. È essenziale verificare le firme digitali prima di installare qualsiasi software.

Guide simili:

Perché Antivirus e Windows Defender bloccano / rimuovono il portafoglio
Come firmare un messaggio con indirizzo Bitcoin?
Ulteriori informazioni sul seed del portafoglio di electrum
Come importare chiavi private in electrum
Portafoglio di backup electrum