Cum se verifică semnătura Electrum? Verificați dacă portofelul dvs. electrum este legitim

Electrum este unul dintre cele mai populare portofele Bitcoin disponibile pentru Windows, Mac, Linux și Android. Este sigur, rapid și simplu de utilizat. Oricine poate descărca portofelul și începe să îl folosească imediat. Mai mult, portofelul este open source. Acesta este unul dintre motivele pentru care un număr mai mare de utilizatori au încredere și folosesc electrum pentru a stoca și gestiona Bitcoin-urile lor.

Descărcați portofelul electrum de pe site-ul oficial: https://electrum.org/#download
De asemenea, puteți descărca și găsi codul sursă al software-ului pe pagina lor GitHub: https://github.com/spesmilo/electrum

Acum, înainte de a instala portofelul sau de a actualiza electrum, trebuie să verificați semnătura și să verificați autenticitatea binarelor / surselor electrum.

Acest lucru trebuie făcut de fiecare dată când descărcați sau actualizați portofelul existent. De asemenea, nu doar portofelul electrum, ci orice software pe care îl instalați pe computer. În special portofelele Bitcoin și criptomonede care gestionează cheile dvs. private ar trebui verificate înainte de utilizare.

Aici, în acest ghid pentru începători, vă vom arăta cum să verificați semnătura electrum. Dar mai întâi să ne înțelegem de ce utilizatorii ar trebui să verifice autenticitatea descărcărilor de portofel înainte de a le utiliza.

De ce să verifici portofelul?

Principalul motiv pentru care ar trebui să verificați autenticitatea electrumului sau a oricărui software de portofel este reducerea riscului de a rula malware.

Deoarece electrum și alte programe de portofel Bitcoin sunt open source, acestea sunt extrem de sensibile la atacuri de phishing. Un hacker poate modifica cu ușurință codul sursă și poate distribui software-ul pe web, care arată identic cu portofelul original. Oricine îl descarcă și îl folosește are un risc ridicat de a-și pierde Bitcoin-urile.

Acest lucru s-a întâmplat anterior în cazul în care hackerul a furat 100 de sute de Bitcoin de la utilizatorii de electrum prin distribuirea unei copii rău intenționate a portofelului electrum. Toți utilizatorii care au descărcat și instalat portofelul fals și-au pierdut toți Bitcoin-urile.

Dar asteapta? Am descărcat electrum de pe site-ul oficial electrum.org. Ar mai trebui să verific semnăturile PGP?

Da, ce se întâmplă dacă hackerul primește acces la server și modifică fișierele descărcate. Acesta este motivul pentru care, chiar dacă descărcați software din sursa oficială, ar trebui să verificați semnăturile și să verificați dacă portofelul este legitim sau nu.

Verificarea fișierelor hash și a semnăturilor GPG

Deci, cum verificați fișierul portofel pe care l-ați descărcat este legitim și nu este modificat de un hacker? Mulțumită criptografiei. Există două moduri de a verifica integritatea și autenticitatea software-ului portofel.

Verificarea hashurilor fișierului software.
Verificarea semnăturilor GPG.

Majoritatea dezvoltatorilor furnizează atât semnăturile hash, cât și semnăturile GPG pentru a permite utilizatorilor să identifice dacă instalează o copie autentică a software-ului sau o versiune malware modificată.

Gândiți-vă la hashuri ca la un identificator unic imuabil, care este atribuit doar unui anumit fișier. Dacă în cazul în care hackerul modifică fișierele programului, acesta nu se va potrivi cu valoarea hash furnizată de dezvoltatorul original. În acest caz, puteți ajunge la concluzia că software-ul descărcat este fals și corupt.

Am făcut deja un tutorial despre cum să verificăm suma de control MD5, SHA256 a unui portofel / software

Dar problema cu care se află această metodă este că hackerul poate crea un hash valid pentru o versiune falsă și o poate publica online. Acest lucru nu aduce deloc securitate.

Acesta este motivul pentru care electrum și alți dezvoltatori de portofele nu publică hashuri. În schimb, ei semnează și își împărtășesc semnăturile digitale.

Verificarea semnăturilor GPG

GPG pe scurt se referă la GNU Privacy Guard este o criptografie bazată pe perechi de chei. GPG este utilizat pentru a cripta sau semna date pentru a le asigura autenticitatea.

Gândiți-vă la semnătura digitală GPG ca la o semnătură scrisă manual, dar cu avantajul suplimentar de a fi rezistent la manipulare.

Deci ideea este; înainte de a elibera binele către public, dezvoltatorul semnează fișierele de descărcare cu cheia lor privată. Utilizatorii pot verifica apoi descărcarea utilizând cheia publică a dezvoltatorilor. Dacă fișierul descărcat este modificat sau modificat, verificarea semnăturii va eșua.

De exemplu, sursele și executabilele de portofel Electrum sunt semnate de ThomasV. Utilizatorii care descarcă software-ul portofel electrum vor folosi cheia publică ThomasV pentru a verifica semnătura și a verifica amprenta. Dacă fișierul este falsificat sau modificat, verificarea semnăturii ar eșua și amprenta nu se potrivește.

Bine! Să vedem acum cum să verificăm semnătura portofelului electrum.

Cum se verifică semnătura electrum

Acest tutorial descrie cum se verifică semnăturile electrum pe Windows. Pentru Mac poți urma același tutorial. Pașii sunt destul de asemănători cu Windows. Doar aplicația variază. Pentru a verifica semnăturile în Windows, vom folosi Gpg4win. În Mac trebuie să utilizați suita de implementare populară PGP GPG.

Vom face un ghid separat pentru sistemul de operare Android, Linux și Tails.

Descarca:

Windows Gpg4win: https://www.gpg4win.org/
Suita Mac GPG: https://gpgtools.org/

1. Descărcați și instalați Gpg4win

Continuați și descărcați Gpg4win pe computerul dvs. Windows. Odată descărcat, trebuie să verificați integritatea fișierului descărcat.

Este opțional, dar este mai bine să îl verificați înainte de instalare.

Pentru a verifica dacă copia Gpg4win este autentică, nu este nevoie să îi verificați semnăturile. Pentru că pentru a face acest lucru, trebuie să instalăm Gpg4win. În schimb, puteți verifica doar valoarea hash a instalatorilor pe care o puteți găsi aici: https://gpg4win.org/package-integrity.html

Consultați acest ghid dacă nu sunteți sigur cum să verificați suma de control SHA256.

Bine! După ce ați verificat integritatea instalatorului descărcat gpg4win, continuați și instalați-l.

instalați kleopatra

La instalare debifați toate celelalte componente, cu excepția Kleopatra.

Kleopatra este un GUI cripto universal și un manager de certificate. Puteți crea și gestiona certificate OpenPGP.

Odată ce acest expert de instalare este complet, Kleopatra ar trebui să se lanseze automat. Dacă nu, accesați directorul de instalare Gpg4win >> coș și deschideți kleopatra.exe.

gpg4win kleopatra

Acum lăsați-l deschis și începeți să descărcați portofelul electrum și semnătura PGP (Pretty Good Privacy).

2. Descărcați instalatorul Electrum &semnătură

Continuați și descărcați acum executabilele electrum pe computer. Poate fi o versiune portabilă, un program de instalare Windows sau un executabil independent.

semnatura electrum

Indiferent de descărcare, asigurați-vă că descărcați și semnătura PGP corespunzătoare, care este disponibilă lângă aceasta.

Bacsis: Faceți clic dreapta pe semnătură și faceți clic pe salvare link ca. Salvați semnătura în același director ca programul de instalare.

Acum ar trebui să aveți două fișiere. Aplicația portofel și fișierul text PGP deschis.

fișier asc asc

De exemplu, dacă ați descărcat electrum-4.0.4-portable.exe, atunci ar trebui să aveți și electrum-4.0.4-portable.exe.asc.

Nu instalați și nu deschideți încă electrum! Trebuie să verificăm semnătura.

3. Obțineți cheia publică ThomasV GPG

Pentru a verifica semnătura electrum aveți nevoie de cheia publică GPG pentru ThomasV

ThomasV (Thomas Voegtlin) este fondatorul și dezvoltatorul principal al portofelului Electrum. Binele Electrum sunt semnate cu cheia publică ThomasV.

Deci, pentru a verifica semnătura, trebuie să importați cheia publică a ThomasV.

Puteți găsi cheia publică ThomasVs gpg / pgp legată aici la https://electrum.org/#download în vârf.

cheie publică electrum

O puteți găsi și aici: https://github.com/spesmilo/electrum/blob/master/pubkeys/ThomasV.asc

Faceți clic dreapta pe link și salvați linkul ca fișier ThomasV.asc în același director în care ați descărcat deja electrum exe și fișierul de semnătură.

Bine! Acum aveți fișierul executabil, semnătura acestuia și cheia publică PGP a autorului. Să verificăm acum descărcarea dvs. electrum.

Verificați descărcarea electrum verificând semnăturile GPG

Mai întâi trebuie să importăm cheia publică a semnatarului.

1. Importați dezvoltatorii cheie publică PGP

Deschideți utilitarul de semnare / certificat Gpg4win Kleopatra.

Acum du-te la dosar >> importați și deschideți fișierul ThomasV.asc.

verificarea amprentei digitale

Odată importată cheia publică, se va deschide o fereastră pop-up cu următorul mesaj:

„Pentru a marca certificatul ca valid (verde) trebuie să fie certificat.

Certificarea înseamnă că verificați amprenta digitală.

Câteva sugestii pentru a face acest lucru sunt:

Un apel telefonic către persoană.

Folosirea unei cărți de vizită.

Confirmarea acestuia pe un site de încredere. ”

Practic, trebuie să verificăm dacă amprenta este corectă. Doar faceți clic pe nu și treceți la pasul următor.

2. Validarea amprentei digitale

Amprenta PGP a lui Thomas Voegtlin:

Amprentă PGP: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
Amprentă digitală fără spațiu: 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6

Sursă validă:

https://www.youtube.com/watch?v=7D83IpdiF-U

Acum trebuie să verificăm dacă această amprentă se potrivește cu cheia publică pe care tocmai am importat-o.

Pentru a face acest lucru, faceți clic dreapta pe certificatul importat de dezvoltatori pe Kleopatra și faceți clic pe detalii. În partea de jos ar trebui să vedeți amprenta.

amprentă cu cheie publică

Dacă se potrivește cu cea împărtășită, atunci cheia este legitimă. Acum, să verificăm semnătura portofelului.

3. Verificați semnătura portofelului

Pentru a verifica semnătura, faceți clic pe Decrypt / Verify din bara de instrumente Kleopatra. Navigați acum la folderul portofel și deschideți fișierul .exe sau fișierul .asc.

decriptează verificarea semnăturii

Kleopatra va verifica acum atât fișierele, cât și rezultatele.

După verificarea cu succes, ar trebui să vedeți următoarea fereastră.

verifică semnătura

Toate operațiunile finalizate:

verificat „electrum.4.0.4-setup.exe” cu „electrum.4.0.4-setup.exe.asc”: datele nu au putut fi verificate.

Semnătură creată joi, 15 octombrie 2020 23:51:39 PM

Cu certificat:

Thomas Voegtlin (https://electrum.org) (2BD5 824B 7F94 70E6)

Cheia utilizată nu este certificată de dvs. sau de vreo persoană de încredere.

Notă: Numărul versiunii și data pot varia la sfârșitul dvs..

De asemenea, nu vă faceți griji cu privire la textul îndrăzneț care spune „Datele nu au putut fi verificate”. Înseamnă pur și simplu că nu ați avut încredere manuală în cheia ThomasV, pe care o vom afișa în pasul următor.

Puteți ignora în siguranță acest mesaj de avertizare. Ceea ce contează este amprenta.

Faceți clic pe Afișați jurnalul de audit și ar trebui să vedeți amprenta cheii principale. Dacă se potrivește, atunci este o semnătură validă. Ați verificat descărcarea electrum și acum puteți instala sau actualiza în siguranță portofelul.

De exemplu, dacă semnătura este nevalidă, după verificare, Kleopatra vă va avertiza cu un mesaj roșu mare ca acesta, cu următorul mesaj:

semnătură nevalidă

Semnătura este nevalidă: Semnătură greșită

Opțional: certificarea cheii dezvoltatorului

Acum că ați validat semnătura și amprenta digitală verificată, puteți merge mai departe și puteți avea încredere în cheia publică a dezvoltatorului electrum.

Pentru a face acest lucru, faceți clic dreapta pe certificat și faceți clic pe certificare.

Ar trebui să vedeți următorul mesaj:

Pentru a certifica alte certificate, trebuie mai întâi să creați un certificat OpenPGP pentru dvs..

Doriți să creați unul acum??

pereche de chei nouă

Faceți clic pe Da. Apoi introduceți numele, adresa de e-mail și faceți clic pe creați. Acum vi se va cere să introduceți expresia de acces pentru a vă proteja noua cheie.

Alegeți o parolă și faceți clic pe creați pentru a crea cu succes o nouă pereche de chei. După ce ați terminat, faceți clic pe Terminare și faceți clic pe certificare. Introduceți din nou parola și veți vedea un mesaj care spune certificat.

Ați certificat cu succes cheia publică a lui ThomasV.

Acum, dacă decriptați / verificați fișierul electrum, veți primi următorul mesaj:

certificat de încredere

Verificat:

Semnătură validă de către [email protected]

Semnătura este validă și validitatea certificatului este pe deplin de încredere.

Asta este! Ați verificat cu succes semnătura portofelului dvs. electrum. Sunteți bine să instalați.

Notă: Cheia pe care ai creat-o pentru tine este cheia ta personală.

Data viitoare când descărcați sau actualizați electrum, nu trebuie să importați din nou cheia publică ThomasV, deoarece ați importat și validat deja certificatul.

Verificați doar semnătura validă. Asta este tot ce contează.

De asemenea, în viitor, Thomas V poate să nu fie întreținătorul clientului electrum. În acest caz, trebuie să importați cheia publică a dezvoltatorului, oricine menține proiectul.

Sper că ați învățat cum să verificați semnăturile GPG și că acum știți cum să verificați descărcarea electrum este legitim.

Exact așa verificați semnăturile pentru practic orice software. Este esențial să verificați semnăturile digitale înainte de a instala orice software.

Ghiduri similare:

De ce Antivirus și Windows Defender blochează / elimină portofelul
Cum să semnezi un mesaj cu adresa Bitcoin?
Aflați mai multe despre semințele de portofel electrum
Cum se importă chei private în electrum
Portofel electrum de rezervă