Jak zweryfikować podpis Electrum? Sprawdź, czy Twój portfel Electrum jest legalny

Electrum to jeden z najpopularniejszych portfeli Bitcoin, dostępny dla systemów Windows, Mac, Linux i Android. Jest bezpieczny, szybki i prosty w użyciu. Każdy może pobrać portfel i od razu zacząć go używać. Ponadto portfel jest open source. Jest to jeden z powodów, dla których większa liczba użytkowników ufa i używa electrum do przechowywania i zarządzania swoimi Bitcoinami.

Pobierz portfel electrum z oficjalnej strony: https://electrum.org/#download
Możesz również pobrać i znaleźć kod źródłowy oprogramowania na ich stronie GitHub: https://github.com/spesmilo/electrum

Teraz zanim zainstalujesz portfel lub zaktualizujesz electrum, musisz zweryfikować podpis i sprawdzić autentyczność plików binarnych / źródeł electrum.

Należy to robić za każdym razem, gdy pobierasz lub aktualizujesz istniejący portfel. Również nie tylko portfel electrum, ale każde oprogramowanie, które zainstalujesz na swoim komputerze. Zwłaszcza portfele bitcoinowe i kryptowalutowe, które obsługują twoje klucze prywatne, powinny zostać zweryfikowane przed użyciem.

W tym przewodniku dla początkujących pokażemy, jak zweryfikować podpis electrum. Ale najpierw pozwól nam zrozumieć, dlaczego użytkownicy powinni weryfikować autentyczność pobrań portfela przed ich użyciem.

Po co weryfikować portfel?

Głównym powodem, dla którego powinieneś zweryfikować autentyczność electrum lub dowolnego oprogramowania portfela, jest zmniejszenie ryzyka uruchomienia złośliwego oprogramowania.

Ponieważ electrum i inne oprogramowanie portfela Bitcoin są open source, są bardzo podatne na ataki phishingowe. Haker może łatwo zmodyfikować kod źródłowy i rozpowszechniać w sieci oprogramowanie, które wygląda identycznie jak oryginalny portfel. Ktokolwiek je pobiera i używa, jest narażony na wysokie ryzyko utraty swoich Bitcoinów.

Stało się to wcześniej, gdy haker ukradł setki bitcoinów użytkownikom electrum, rozpowszechniając złośliwą kopię portfela electrum. Wszyscy użytkownicy, którzy pobrali i zainstalowali fałszywy portfel, stracili wszystkie swoje Bitcoiny.

Ale poczekaj? Pobrałem electrum z oficjalnej strony electrum.org. Czy nadal muszę weryfikować podpisy PGP?

Tak, co się stanie, jeśli haker uzyska dostęp do serwera i zmodyfikuje pobierane pliki. Dlatego nawet jeśli pobierasz oprogramowanie z oficjalnego źródła, powinieneś zweryfikować podpisy i sprawdzić, czy portfel jest legalny, czy nie.

Weryfikacja plików hash i podpisów GPG

Jak więc sprawdzić, czy pobrany plik portfela jest legalny i nie został zmodyfikowany przez hakera? Dzięki kryptografii. Integralność i autentyczność oprogramowania portfela można zweryfikować na dwa sposoby.

Weryfikacja skrótów pliku oprogramowania.
Weryfikacja podpisów GPG.

Większość programistów dostarcza zarówno skróty, jak i podpisy GPG, aby umożliwić użytkownikom zidentyfikowanie, czy instalują oryginalną kopię oprogramowania, czy zmodyfikowaną złośliwą kopię.

Pomyśl o skrótach jako niezmiennym, unikalnym identyfikatorze, który jest przypisany tylko do określonego pliku. Jeśli haker zmodyfikuje pliki programu, nie będzie on zgodny z wartością skrótu dostarczoną przez pierwotnego programistę. W takim przypadku możesz dojść do wniosku, że pobrane oprogramowanie jest fałszywe i uszkodzone.

Stworzyliśmy już samouczek, jak zweryfikować sumę kontrolną MD5, SHA256 portfela / oprogramowania

Ale problem polega na tym, że haker może stworzyć prawidłowy hash dla fałszywej wersji i opublikować go online. Nie zapewnia to żadnego bezpieczeństwa.

Dlatego electrum i inni programiści portfeli nie publikują hashów. Zamiast tego podpisują i udostępniają swoje podpisy cyfrowe.

Weryfikacja podpisów GPG

GPG w skrócie odnosi się do GNU Privacy Guard to kryptografia oparta na parach kluczy. GPG służy do szyfrowania lub podpisywania danych w celu zapewnienia ich autentyczności.

Pomyśl o podpisie cyfrowym GPG jako podpisie odręcznym, ale z dodatkową korzyścią w postaci odporności na manipulacje.

Więc idea jest; przed upublicznieniem plików binarnych programista podpisuje pliki do pobrania swoim kluczem prywatnym. Użytkownicy mogą następnie zweryfikować pobieranie przy użyciu klucza publicznego dewelopera. Jeśli pobrany plik zostanie zmodyfikowany lub naruszony, weryfikacja podpisu zakończy się niepowodzeniem.

Na przykład źródła i pliki wykonywalne portfela Electrum są podpisane przez ThomasV. Użytkownicy pobierający oprogramowanie portfela electrum będą używać klucza publicznego ThomasV w celu sprawdzenia podpisu i odcisku palca. Jeśli plik zostanie sfałszowany lub zmodyfikowany, weryfikacja podpisu zakończy się niepowodzeniem, a odcisk palca nie będzie zgodny.

W porządku! Zobaczmy teraz, jak zweryfikować podpis portfela electrum.

Jak zweryfikować podpis electrum

W tym samouczku opisano, jak weryfikować podpisy electrum w systemie Windows. W przypadku komputerów Mac możesz postępować zgodnie z tym samym samouczkiem. Kroki są dość podobne jak w systemie Windows. Różni się tylko aplikacja. Aby zweryfikować podpisy w systemie Windows, będziemy używać Gpg4win. Na Macu musisz użyć popularnego pakietu GPG implementacji PGP.

Przygotujemy osobny przewodnik dla systemów Android, Linux i Tails.

Ściągnij:

Windows Gpg4win: https://www.gpg4win.org/
Pakiet Mac GPG: https://gpgtools.org/

1. Pobierz i zainstaluj Gpg4win

Śmiało i pobierz Gpg4win na swój komputer z systemem Windows. Po pobraniu musisz sprawdzić integralność pobranego pliku.

Jest opcjonalny, ale lepiej zweryfikować go przed instalacją.

Aby sprawdzić, czy kopia Twojego Gpg4win jest autentyczna, nie musisz weryfikować jej podpisów. Aby to zrobić, musimy zainstalować Gpg4win. Zamiast tego możesz po prostu zweryfikować wartość skrótu instalatora, którą możesz znaleźć tutaj: https://gpg4win.org/package-integrity.html

Zapoznaj się z tym przewodnikiem, jeśli nie jesteś pewien, jak zweryfikować sumę kontrolną SHA256.

W porządku! Po sprawdzeniu integralności pobranego instalatora gpg4win, zainstaluj go.

zainstaluj kleopatrę

Podczas instalacji odznacz wszystkie inne komponenty oprócz Kleopatry.

Kleopatra to uniwersalne Crypto GUI i menedżer certyfikatów. Możesz tworzyć i zarządzać certyfikatami OpenPGP.

Po zakończeniu pracy kreatora instalacji Kleopatra powinna uruchomić się automatycznie. Jeśli nie, przejdź do katalogu instalacyjnego Gpg4win >> bin i otwórz plik kleopatra.exe.

gpg4win kleopatra

Teraz zostaw to otwarte i zacznij pobierać portfel electrum i jego podpis PGP (Pretty Good Privacy).

2. Pobierz instalator Electrum &podpis

Śmiało i teraz pobierz pliki wykonywalne electrum na swój komputer. Może to być wersja przenośna, instalator systemu Windows lub samodzielny plik wykonywalny.

podpis electrum

Cokolwiek pobierzesz, upewnij się, że pobierasz również odpowiedni podpis PGP, który jest dostępny obok.

Wskazówka: Kliknij prawym przyciskiem myszy podpis i kliknij Zapisz łącze jako. Zapisz podpis w tym samym katalogu, w którym znajduje się instalator.

Teraz powinieneś mieć dwa pliki. Aplikacja portfela i otwarty plik tekstowy PGP.

plik electrum asc

Na przykład, jeśli pobrałeś electrum-4.0.4-portable.exe, powinieneś mieć również electrum-4.0.4-portable.exe.asc.

Nie instaluj ani nie otwieraj jeszcze electrum! Nie zweryfikowaliśmy jeszcze podpisu.

3. Uzyskaj publiczny klucz ThomasV GPG

Aby zweryfikować podpis electrum, potrzebujesz publicznego klucza GPG dla ThomasV

ThomasV (Thomas Voegtlin) jest założycielem i głównym twórcą portfela Electrum. Pliki binarne Electrum są podpisane kluczem publicznym ThomasV.

Aby zweryfikować podpis, musisz zaimportować klucz publiczny ThomasV.

Link publiczny ThomasVs gpg / pgp można znaleźć tutaj pod adresem https://electrum.org/#download na górze.

klucz publiczny electrum

Znajdziesz go również tutaj: https://github.com/spesmilo/electrum/blob/master/pubkeys/ThomasV.asc

Kliknij łącze prawym przyciskiem myszy i zapisz łącze jako plik ThomasV.asc w tym samym katalogu, w którym pobrałeś już electrum exe i plik podpisu.

W porządku! Teraz masz plik wykonywalny, jego podpis i publiczny klucz PGP autora. Sprawdźmy teraz, czy pobrałeś electrum.

Zweryfikuj pobieranie electrum, weryfikując podpisy GPG

Najpierw musimy zaimportować klucz publiczny osoby podpisującej.

1. Importuj klucz publiczny PGP programistów

Otwórz narzędzie do podpisów / certyfikatów Gpg4win, Kleopatra.

Teraz przejdź do pliku >> zaimportuj i otwórz plik ThomasV.asc.

weryfikacja odcisków palców

Po zaimportowaniu klucza publicznego otworzy się wyskakujące okienko z następującym komunikatem:

„Aby oznaczyć certyfikat jako ważny (zielony), musi on być certyfikowany.

Certyfikacja oznacza sprawdzenie odcisku palca.

Oto kilka sugestii, jak to zrobić:

Telefon do osoby.

Korzystanie z wizytówki.

Potwierdzenie w zaufanej witrynie ”.

Zasadniczo musimy sprawdzić, czy odcisk palca jest poprawny. Po prostu kliknij nie i przejdź do następnego kroku.

2. Sprawdzanie odcisku palca

Odcisk cyfrowy PGP Thomasa Voegtlina:

Odcisk cyfrowy PGP: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
Odcisk palca bez spacji: 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6

Prawidłowe źródło:

https://www.youtube.com/watch?v=7D83IpdiF-U

Musimy teraz sprawdzić, czy ten odcisk palca pasuje do klucza publicznego, który właśnie zaimportowaliśmy.

Aby to zrobić, kliknij prawym przyciskiem myszy programiści zaimportowali certyfikat do Kleopatry i kliknij szczegóły. Na dole powinieneś zobaczyć odcisk palca.

odcisk palca klucza publicznego

Jeśli pasuje do tego, o którym współużytkowano, klucz jest ważny. Teraz zweryfikujmy podpis portfela.

3. Zweryfikuj podpis portfela

Aby zweryfikować podpis, kliknij Odszyfruj / Weryfikuj na pasku narzędzi Kleopatry. Teraz przejdź do folderu portfela i otwórz plik .exe lub .asc.

odszyfruj weryfikację podpisu

Kleopatra zweryfikuje teraz oba pliki i wyświetli wyniki.

Po pomyślnej weryfikacji powinieneś zobaczyć następujące okno.

zweryfikuj podpis

Wszystkie operacje zakończone:

zweryfikowano „electrum.4.0.4-setup.exe” przy użyciu „electrum.4.0.4-setup.exe.asc”: dane nie mogły zostać zweryfikowane.

Podpis utworzony w czwartek, 15 października 2020 23:51:39

Z certyfikatem:

Thomas Voegtlin (https://electrum.org) (2BD5 824B 7F94 70E6)

Użyty klucz nie jest certyfikowany przez Ciebie ani żadną zaufaną osobę.

Uwaga: Numer wersji i data mogą się różnić na Twoim końcu.

Nie przejmuj się też pogrubionym tekstem, który mówi „Nie można zweryfikować danych”. Oznacza to po prostu, że nie ufałeś ręcznie kluczowi ThomasV, który pokażemy w następnym kroku.

Możesz bezpiecznie zignorować to ostrzeżenie. Liczy się odcisk palca.

Kliknij Pokaż dziennik audytu i powinieneś zobaczyć odcisk cyfrowy klucza podstawowego. Jeśli pasuje, jest to ważny podpis. Zweryfikowałeś pobieranie electrum i możesz teraz bezpiecznie zainstalować lub zaktualizować portfel.

Na przykład, jeśli podpis jest nieprawidłowy, po weryfikacji Kleopatra ostrzeże Cię dużym czerwonym komunikatem, takim jak ten, z następującym komunikatem:

nieprawidłowy zły podpis

Podpis jest nieprawidłowy: zły podpis

Opcjonalnie: poświadczenie klucza programisty

Teraz, gdy masz zweryfikowany podpis i zweryfikowany odcisk palca, możesz śmiało zaufać kluczowi publicznemu programisty electrum.

Aby to zrobić, kliknij certyfikat prawym przyciskiem myszy i kliknij opcję Certyfikuj.

Powinien zostać wyświetlony następujący komunikat:

Aby certyfikować inne certyfikaty, musisz najpierw utworzyć dla siebie certyfikat OpenPGP.

Czy chcesz je teraz utworzyć?

nowa para kluczy

Kliknij Tak. Następnie wprowadź swoje imię i nazwisko, e-mail i kliknij Utwórz. Teraz zostaniesz poproszony o wprowadzenie hasła w celu ochrony nowego klucza.

Wybierz hasło i kliknij Utwórz, aby pomyślnie utworzyć nową parę kluczy. Po zakończeniu kliknij Zakończ i kliknij Certyfikuj. Wpisz hasło ponownie, a zobaczysz komunikat o certyfikacie.

Udało Ci się certyfikować klucz publiczny ThomasV.

Teraz, jeśli odszyfrujesz / zweryfikujesz plik electrum, otrzymasz następujący komunikat:

certyfikat zaufany

Zweryfikowano:

Ważny podpis od [email protected]

Podpis jest ważny, a ważność certyfikatu jest w pełni zaufana.

Otóż to! Udało Ci się zweryfikować podpis Twojego portfela Electrum. Jesteś dobry w instalacji.

Uwaga: Klucz, który dla siebie stworzyłeś, jest Twoim kluczem osobistym.

Następnym razem, gdy pobierzesz lub zaktualizujesz electrum, nie musisz ponownie importować klucza publicznego ThomasV, ponieważ już zaimportowałeś i zweryfikowałeś certyfikat.

Po prostu sprawdź prawidłowy podpis. Tylko to się liczy.

Również w przyszłości Thomas V może nie być opiekunem klienta electrum. W takim przypadku musisz zaimportować klucz publiczny programisty, który obsługuje projekt.

Mam nadzieję, że nauczyłeś się weryfikować podpisy GPG, a teraz wiesz, jak sprawdzić, czy pobieranie electrum jest legalne.

Dokładnie w ten sposób weryfikujesz podpisy dla praktycznie każdego oprogramowania. Niezbędne jest zweryfikowanie podpisów cyfrowych przed zainstalowaniem jakiegokolwiek oprogramowania.

Podobne przewodniki:

Dlaczego program antywirusowy i program Windows Defender blokuje / usuwa portfel
Jak podpisać wiadomość za pomocą adresu Bitcoin?
Dowiedz się więcej o nasionach portfela Electrum
Jak zaimportować klucze prywatne do electrum
Zapasowy portfel electrum