¿Cómo verificar la firma de Electrum? Compruebe si su billetera electrum es legítima

Electrum es una de las carteras de Bitcoin más populares que está disponible para Windows, Mac, Linux y Android. Es seguro, rápido y sencillo de usar. Cualquiera puede descargar la billetera y comenzar a usarla de inmediato. Además, la billetera es de código abierto. Esta es una de las razones por las que un mayor número de usuarios confía y usa electrum para almacenar y administrar sus Bitcoins..

Descargue la billetera electrum del sitio web oficial: https://electrum.org/#download
También puede descargar y encontrar el código fuente del software en su página de GitHub: https://github.com/spesmilo/electrum

Ahora, antes de instalar la billetera o actualizar electrum, debe verificar la firma y verificar la autenticidad de los binarios / fuentes de electrum.

Esto debe hacerse cada vez que descargue o actualice su billetera existente. Además, no solo la billetera electrum, sino cualquier software que instale en su computadora. Especialmente las billeteras de Bitcoin y criptomonedas que manejan sus claves privadas deben verificarse antes de usarlas..

Aquí, en esta guía para principiantes, le mostraremos cómo verificar la firma de electrum. Pero primero, comprendamos por qué los usuarios deben verificar la autenticidad de las descargas de la billetera antes de usarlas..

Por qué verificar la billetera?

La razón principal por la que debe verificar la autenticidad de electrum o cualquier software de billetera es reducir el riesgo de ejecutar malware..

Dado que Electrum y otros software de billetera de Bitcoin son de código abierto, son altamente susceptibles a los ataques de phishing. Un pirata informático puede modificar fácilmente el código fuente y distribuir el software en la web, que se ve idéntico a la billetera original. Quien lo descargue y lo use corre un alto riesgo de perder sus Bitcoins.

Esto ha sucedido anteriormente cuando el pirata informático robó cientos de Bitcoin de los usuarios de electrum al distribuir una copia maliciosa de la billetera de electrum. Todos los usuarios que han descargado e instalado la billetera falsa han perdido todos sus Bitcoins.

¿Pero espera? He descargado electrum del sitio web oficial electrum.org. ¿Debo seguir necesitando verificar las firmas PGP??

Sí, ¿qué pasa si el pirata informático obtiene acceso al servidor y modifica los archivos de descarga? Es por eso que incluso si descarga software de una fuente oficial, debe verificar las firmas y verificar si la billetera es legítima o no..

Verificación de archivos hash y firmas GPG

Entonces, ¿cómo verifica que el archivo de billetera que descargó sea legítimo y no haya sido modificado por un pirata informático? Gracias a la criptografía. Hay dos formas de verificar la integridad y autenticidad del software de billetera..

Verificación de los hash del archivo de software.
Verificación de firmas GPG.

La mayoría de los desarrolladores proporcionan tanto los hash como las firmas GPG para permitir a los usuarios identificar si están instalando una copia genuina del software o una maliciosa modificada..

Piense en los hash como un identificador único e inmutable que solo se asigna a un archivo en particular. Si, en caso de que el pirata informático modifique los archivos del programa, no coincidirá con el valor hash proporcionado por el desarrollador original. En cuyo caso, puede llegar a la conclusión de que el software descargado es falso y está dañado..

Ya hicimos un tutorial sobre cómo verificar la suma de comprobación MD5, SHA256 de una billetera / software

Pero el problema de ese método es que el hacker puede crear un hash válido para una versión falsa y publicarlo en línea. Esto no aporta ninguna seguridad.

Es por eso que electrum y otros desarrolladores de billeteras no publican hashes. En su lugar, firman y comparten sus firmas digitales..

Verificación de firmas GPG

GPG en resumen se refiere a GNU Privacy Guard es una criptografía basada en pares de claves. GPG se utiliza para cifrar o firmar datos para garantizar su autenticidad..

Piense en la firma digital GPG como una firma escrita a mano pero con el beneficio adicional de ser resistente a la manipulación..

Entonces la idea es; antes de lanzar los binarios al público, el desarrollador firma los archivos de descarga con su clave privada. A continuación, los usuarios pueden verificar la descarga utilizando la clave pública de los desarrolladores. Si el archivo descargado se modifica o manipula, la verificación de la firma fallará.

Por ejemplo, las fuentes y los ejecutables de la billetera Electrum están firmados por ThomasV. Los usuarios que descarguen el software de billetera electrum usarán la clave pública de ThomasV para verificar la firma y verificar la huella digital. Si el archivo se falsifica o modifica, la verificación de la firma fallará y la huella dactilar no coincide.

¡Está bien! Veamos ahora cómo verificar la firma de la billetera electrum.

Cómo verificar la firma de electrum

Este tutorial describe cómo verificar las firmas de electrum en Windows. Para Mac puedes seguir el mismo tutorial. Los pasos son bastante similares a los de Windows. Solo varía la aplicación. Para verificar firmas en Windows usaremos Gpg4win. En Mac, debe utilizar la popular suite GPG de implementación de PGP.

Haremos una guía separada para Android, Linux y Tails OS.

Descargar:

Windows Gpg4win: https://www.gpg4win.org/
Suite Mac GPG: https://gpgtools.org/

1. Descargue e instale Gpg4win

Continúe y descargue Gpg4win a su PC con Windows. Una vez descargado, debe verificar la integridad del archivo descargado.

Es opcional pero es mejor que lo verifiques antes de instalar.

Para verificar si la copia de su Gpg4win es auténtica, no necesita verificar sus firmas. Porque para hacerlo necesitamos instalar Gpg4win. En su lugar, puede verificar el valor hash de los instaladores, que puede encontrar aquí: https://gpg4win.org/package-integrity.html

Consulte esta guía si no está seguro de cómo verificar la suma de comprobación SHA256.

¡Está bien! Una vez que haya verificado la integridad del instalador de gpg4win descargado, continúe e instálelo.

instalar kleopatra

Al instalar, desmarque todos los demás componentes excepto Kleopatra.

Kleopatra es una GUI de cifrado universal y un administrador de certificados. Puede crear y administrar certificados OpenPGP.

Una vez que este asistente de instalación esté completo, Kleopatra debería iniciarse automáticamente. Si no es así, vaya al directorio de instalación Gpg4win >> bin y abra kleopatra.exe.

gpg4win kleopatra

Ahora déjelo abierto y comience a descargar la billetera electrum y su firma PGP (Pretty Good Privacy).

2. Descarga el instalador de Electrum &firma

Continúe y ahora descargue los ejecutables de electrum a su PC. Puede ser una versión portátil, un instalador de Windows o un ejecutable independiente.

firma de electrum

Independientemente de lo que descargue, asegúrese de descargar también la firma PGP adecuada que está disponible junto a ella.

Consejo: Haga clic con el botón derecho en la firma y haga clic en guardar enlace como. Guarde la firma en el mismo directorio que el instalador.

Ahora debería tener dos archivos. La aplicación de billetera y el archivo de texto PGP abierto.

archivo asc electrum

Por ejemplo, si descargó electrum-4.0.4-portable.exe, también debería tener electrum-4.0.4-portable.exe.asc.

¡No instale ni abra electrum todavía! Aún tenemos que verificar la firma.

3. Obtenga la clave GPG pública de ThomasV

Para verificar la firma de electrum, necesita la clave GPG pública para ThomasV

ThomasV (Thomas Voegtlin) es el fundador y desarrollador principal de la billetera Electrum. Los binarios de Electrum están firmados con la clave pública de ThomasV.

Entonces, para verificar la firma, debe importar la clave pública de ThomasV.

Puede encontrar la clave pública ThomasVs gpg / pgp vinculada aquí en https://electrum.org/#download en la cima.

clave pública electrum

También puedes encontrarlo aquí: https://github.com/spesmilo/electrum/blob/master/pubkeys/ThomasV.asc

Haga clic con el botón derecho en el enlace y guarde el enlace como archivo ThomasV.asc en el mismo directorio donde ya descargó electrum exe y el archivo de firma.

¡Está bien! Ahora tiene el archivo ejecutable, su firma y la clave pública PGP del autor. Ahora verifiquemos su descarga de electrum.

Verifique la descarga de electrum verificando las firmas GPG

Primero necesitamos importar la clave pública del firmante.

1. Importar la clave pública PGP de los desarrolladores

Abra la utilidad de firma / certificado de Gpg4win Kleopatra.

Ahora ve al archivo >> importar y abrir el archivo ThomasV.asc.

verificación de huellas dactilares

Una vez que se importa la clave pública, se abrirá una ventana emergente con el siguiente mensaje:

“Para marcar el certificado como válido (verde), debe estar certificado.

Certificar significa que verifica la huella digital.

Algunas sugerencias para hacer esto son:

Una llamada telefónica a la persona.

Usando una tarjeta de presentación.

Confirmándolo en un sitio web de confianza “.

Básicamente tenemos que comprobar si la huella dactilar es correcta. Simplemente haga clic en no y continúe con el siguiente paso.

2. Validación de huella digital

Huella PGP de Thomas Voegtlin:

Huella digital PGP: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
Huella dactilar sin espacio: 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6

Fuente válida:

https://www.youtube.com/watch?v=7D83IpdiF-U

Ahora debemos verificar si esta huella digital coincide con la clave pública que acabamos de importar..

Para hacerlo, haga clic con el botón derecho en el certificado importado de los desarrolladores en Kleopatra y haga clic en detalles. En la parte inferior debería ver la huella digital..

huella digital de clave pública

Si coincide con el que se comparte, entonces la clave es legítima. Ahora verifiquemos la firma de la billetera.

3. Verifique la firma de la billetera

Para verificar la firma, haga clic en Descifrar / Verificar en la barra de herramientas de Kleopatra. Ahora navegue a la carpeta de la billetera y abra el archivo .exe o el archivo .asc.

desencriptar verificar firma

Kleopatra ahora verificará ambos archivos y producirá resultados.

Después de una verificación exitosa, debería ver la siguiente ventana.

verificar firma

Todas las operaciones completadas:

verificado “electrum.4.0.4-setup.exe” con “electrum.4.0.4-setup.exe.asc”: los datos no se pudieron verificar.

Firma creada el jueves 15 de octubre de 2020 11:51:39 p.m.

Con certificado:

Thomas Voegtlin (https://electrum.org) (2BD5 824B 7F94 70E6)

La clave utilizada no está certificada por usted ni por ninguna persona de confianza..

Nota: El número de versión y la fecha pueden variar al final.

Además, no se preocupe por el texto en negrita que dice “No se pudieron verificar los datos”. Simplemente significa que no ha confiado manualmente en la clave de ThomasV, que mostraremos en el siguiente paso..

Puede ignorar con seguridad este mensaje de advertencia. Lo que importa es la huella dactilar.

Haga clic en mostrar registro de auditoría y debería ver la huella digital de la clave principal. Si coincide, es una firma válida. Verificó su descarga de electrum y ahora puede instalar o actualizar la billetera de manera segura.

Por ejemplo, si la firma no es válida, después de la verificación, Kleopatra le advertirá con un gran mensaje rojo como este con el siguiente mensaje:

firma incorrecta no válida

La firma no es válida: firma incorrecta

Opcional: certificación de la clave del desarrollador

Ahora que ha validado la firma y la huella digital verificada, puede continuar y confiar en la clave pública del desarrollador de electrum..

Para hacerlo, haga clic derecho en el certificado y haga clic en certificar.

Debería ver el siguiente mensaje:

Para certificar otros certificados, primero debe crear un certificado OpenPGP para usted.

¿Desea crear uno ahora??

nuevo par de claves

Haga clic en Sí. Luego ingrese su nombre, correo electrónico y haga clic en crear. Ahora se le pedirá que ingrese la frase de contraseña para proteger su nueva clave.

Elija una contraseña y haga clic en crear para crear correctamente un nuevo par de claves. Una vez hecho esto, haga clic en finalizar y haga clic en certificar. Ingrese la contraseña nuevamente y verá un mensaje que dice certificado.

Has certificado correctamente la clave pública de ThomasV..

Ahora, si descifra / verifica el archivo electrum, obtendrá el siguiente mensaje:

certificado de confianza

Verificado:

Firma válida de [email protected]

La firma es válida y la validez del certificado es de plena confianza.

¡Eso es! Verificó con éxito la firma de su billetera electrum. Eres bueno para instalar.

Nota: La clave que creó para usted mismo es su clave personal..

La próxima vez que descargue o actualice electrum, no tendrá que volver a importar la clave pública de ThomasV, ya que ya ha importado y validado el certificado..

Solo verifique una firma válida. Eso es todo lo que importa.

Además, en el futuro, Thomas V puede no ser el responsable de mantenimiento del cliente de electrum. En cuyo caso, debe importar la clave pública del desarrollador que está manteniendo el proyecto..

Espero que haya aprendido a verificar las firmas de GPG y que ahora sepa cómo verificar que la descarga de electrum es legítima.

Así es exactamente como verifica las firmas de prácticamente cualquier software. Es esencial que verifique las firmas digitales antes de instalar cualquier software..

Guías similares:

Por qué Antivirus y Windows Defender bloquea / elimina la billetera
Cómo firmar un mensaje con la dirección de Bitcoin?
Obtenga más información sobre la semilla de billetera electrum
Cómo importar claves privadas en electrum
Cartera de respaldo electrum