Bagaimana untuk mengesahkan tandatangan Electrum? Periksa sama ada dompet electrum anda sah

Electrum adalah salah satu dompet Bitcoin yang paling popular yang tersedia untuk Windows, Mac, Linux dan Android. Ia selamat, cepat dan mudah digunakan. Sesiapa sahaja boleh memuat turun dompet dan mula menggunakannya segera. Lebih-lebih lagi dompet itu adalah sumber terbuka. Ini adalah salah satu sebab mengapa lebih banyak pengguna mempercayai dan menggunakan electrum untuk menyimpan dan mengurus Bitcoin mereka.

Sekarang sebelum anda memasang dompet atau mengemas kini electrum, anda perlu mengesahkan tandatangan dan memeriksa kesahihan binari / sumber electrum.

Ini mesti dilakukan setiap kali anda memuat turun atau mengemas kini dompet yang ada. Bukan hanya dompet electrum tetapi perisian yang anda pasang di komputer anda. Terutama dompet Bitcoin dan cryptocurrency yang mengendalikan kunci peribadi anda harus disahkan sebelum menggunakannya.

Di sini dalam panduan pemula ini, kami akan menunjukkan kepada anda cara mengesahkan tandatangan electrum. Tetapi pertama-tama mari kita fahami mengapa pengguna harus mengesahkan kesahihan muat turun dompet sebelum menggunakannya.

Mengapa perlu mengesahkan dompet?

Sebab utama mengapa anda harus mengesahkan keaslian electrum atau sebarang perisian dompet adalah untuk mengurangkan risiko menjalankan perisian hasad.

Oleh kerana perisian elektronik dan dompet Bitcoin lain adalah sumber terbuka, mereka sangat terdedah kepada serangan pancingan data. Seorang penggodam dapat dengan mudah mengubah kod sumber dan menyebarkan perisian di seluruh web yang kelihatan sama dengan dompet asalnya. Sesiapa yang memuat turun dan menggunakannya berisiko tinggi kehilangan Bitcoin mereka.

Ini pernah berlaku sebelumnya di mana penggodam mencuri 100-an Bitcoin dari pengguna electrum dengan mengedarkan salinan dompet electrum yang berniat jahat. Semua pengguna yang telah memuat turun dan memasang dompet palsu telah kehilangan semua Bitcoin mereka.

Tapi tunggu? Saya telah memuat turun electrum dari laman web rasmi electrum.org. Sekiranya saya masih perlu mengesahkan tandatangan PGP?

Ya, bagaimana jika penggodam mendapat akses ke pelayan dan mengubah fail muat turun. Inilah sebabnya mengapa walaupun anda memuat turun perisian dari sumber rasmi, anda harus mengesahkan tandatangan dan memeriksa sama ada dompet itu sah atau tidak.

Mengesahkan fail hash dan tandatangan GPG

Oleh itu, bagaimana anda mengesahkan fail dompet yang anda muat turun itu sah dan tidak diubah suai oleh penggodam? Terima kasih kepada kriptografi. Terdapat dua cara untuk mengesahkan integriti dan keaslian perisian dompet.

  1. Mengesahkan hash fail perisian.
  2. Mengesahkan tandatangan GPG.

Sebilangan besar pembangun menyediakan tandatangan dan tandatangan GPG untuk membolehkan pengguna mengenal pasti sama ada mereka memasang salinan perisian asli atau perisian hasad yang diubah suai.

Anggap hash sebagai pengecam unik yang tidak dapat diubah yang hanya diberikan pada fail tertentu. Sekiranya sekiranya penggodam mengubah fail program maka ia tidak akan sepadan dengan nilai hash yang diberikan oleh pembangun asal. Dalam kes ini, anda dapat membuat kesimpulan bahawa perisian yang dimuat turun adalah palsu dan rosak.

Kami telah membuat tutorial mengenai cara mengesahkan MD5, SHA256 checksum dompet / perisian

Tetapi masalahnya kaedah apa ialah penggodam dapat membuat hash yang sah untuk versi palsu dan menerbitkannya dalam talian. Ini sama sekali tidak membawa keselamatan.

Inilah sebabnya mengapa electrum dan pemaju dompet lain tidak menerbitkan hash. Sebaliknya mereka menandatangani dan berkongsi tandatangan digital mereka.

Mengesahkan tandatangan GPG

Singkatnya GPG merujuk kepada GNU Privacy Guard adalah kriptografi berdasarkan pasangan kunci. GPG digunakan untuk menyulitkan atau menandatangani data untuk memastikan kesahihannya.

Fikirkan tandatangan digital GPG sebagai tandatangan bertulis tangan tetapi dengan faedah tambahan kerana tahan terhadap gangguan.

Jadi idenya adalah; sebelum melepaskan binari kepada umum, pembangun menandatangani fail muat turun dengan kunci peribadinya. Pengguna kemudian dapat mengesahkan muat turun dengan menggunakan kunci awam pemaju. Sekiranya fail yang dimuat turun diubah atau diubah maka pengesahan tandatangan akan gagal.

Contohnya sumber dompet Electrum dan boleh laku ditandatangani oleh ThomasV. Pengguna yang memuat turun perisian dompet electrum akan menggunakan kunci awam ThomasV untuk memeriksa tandatangan dan mengesahkan cap jari. Sekiranya fail dipalsukan atau diubah, pengesahan tandatangan akan gagal dan cap jari tidak sesuai.

Baiklah! Sekarang mari kita lihat cara mengesahkan tandatangan dompet electrum.

Cara mengesahkan tandatangan electrum

Tutorial ini menerangkan cara mengesahkan tandatangan elektrum pada Windows. Untuk Mac anda boleh mengikuti tutorial yang sama. Langkahnya agak serupa dengan Windows. Hanya aplikasi yang berbeza-beza. Untuk mengesahkan tandatangan di Windows, kami akan menggunakan Gpg4win. Di Mac, anda perlu menggunakan rangkaian GPG pelaksanaan PGP yang popular.

Kami akan membuat panduan tersendiri untuk Android, Linux dan Tails OS.

Muat turun:

1. Muat turun dan Pasang Gpg4win

Teruskan dan muat turun Gpg4win ke PC Windows anda. Setelah dimuat turun, anda perlu memeriksa integriti fail yang dimuat turun.

Ia adalah pilihan tetapi lebih baik anda mengesahkannya sebelum memasang.

Untuk mengesahkan sama ada salinan Gpg4win anda sahih, anda tidak perlu mengesahkan tandatangannya. Kerana untuk melakukannya kita perlu memasang Gpg4win. Sebagai gantinya, anda boleh mengesahkan nilai hash pemasang yang boleh anda dapatkan di sini: https://gpg4win.org/package-integrity.html

Rujuk panduan ini jika anda tidak pasti cara mengesahkan checksum SHA256.

Baiklah! Setelah anda memeriksa integriti pemasang gpg4win yang dimuat turun, teruskan dan pasangkannya.

pasang kleopatra

Semasa memasang hapus centang semua komponen lain kecuali Kleopatra.

Kleopatra adalah GUI crypto sejagat dan pengurus sijil. Anda boleh membuat dan mengurus sijil OpenPGP.

Setelah wizard pemasangan ini selesai, Kleopatra akan dilancarkan secara automatik. Sekiranya tidak, pergi ke direktori pemasangan Gpg4win >> tong sampah dan buka kleopatra.exe.

gpg4win kleopatra

Sekarang biarkan terbuka dan mulakan memuat turun dompet electrum dan tandatangan PGP (Pretty Good Privacy).

2. Muat turun pemasang Electrum &tandatangan

Teruskan dan muat turun electrum yang boleh dilaksanakan ke PC anda. Ia boleh menjadi versi mudah alih, pemasang tingkap atau dapat dijalankan secara mandiri.

tandatangan electrum

Apa sahaja yang anda muat turun pastikan anda juga memuat turun tandatangan PGP yang sesuai yang terdapat di sebelahnya.

Petua: Klik kanan tandatangan dan klik pautan simpan sebagai. Simpan tandatangan ke direktori yang sama dengan pemasang.

Sekarang anda harus mempunyai dua fail. Aplikasi dompet dan fail teks PGP yang terbuka.

fail asc electrum

Contohnya jika anda memuat turun electrum-4.0.4-portable.exe maka anda juga harus mempunyai electrum-4.0.4-portable.exe.asc.

Jangan pasang atau buka electrum lagi! Kami belum mengesahkan tandatangannya.

3. Dapatkan kunci GPG Awam ThomasV

Untuk mengesahkan tandatangan electrum, anda memerlukan kunci GPG awam untuk ThomasV

ThomasV (Thomas Voegtlin) adalah pengasas dan pembangun utama dompet Electrum. Binari electrum ditandatangani dengan kunci awam ThomasV.

Oleh itu, untuk mengesahkan tandatangan anda perlu mengimport kunci awam ThomasV.

Anda boleh mendapatkan kunci awam ThomasVs gpg / pgp yang dipautkan di sini di https://electrum.org/#download di bahagian atas.

kunci awam electrum

Anda juga boleh menemuinya di sini: https://github.com/spesmilo/electrum/blob/master/pubkeys/ThomasV.asc

Klik kanan pautan dan simpan pautan sebagai fail ThomasV.asc ke direktori yang sama di mana anda sudah memuat turun electrum exe dan fail tandatangan.

Baiklah! Sekarang anda mempunyai fail yang boleh dilaksanakan, tandatangannya dan kunci awam PGP pengarang. Sekarang mari kita sahkan muat turun electrum anda.

Sahkan muat turun electrum dengan mengesahkan tandatangan GPG

Mula-mula kita perlu mengimport kunci awam penandatangan.

1. Kunci awam PGP pemaju import

Buka Kleopatra utiliti tandatangan / sijil Gpg4win.

Sekarang pergi ke fail >> import dan buka fail ThomasV.asc.

pengesahan cap jari

Setelah kunci awam diimport, tetingkap pop timbul akan terbuka dengan mesej berikut:

“Untuk menandakan sijil sebagai sah (hijau) perlu disahkan.

Memperakui bermaksud anda memeriksa Cap Jari.

Beberapa cadangan untuk melakukan ini adalah:

Panggilan telefon kepada orang tersebut.

Menggunakan kad perniagaan.

Mengesahkannya di laman web yang dipercayai. “

Pada dasarnya kita perlu memeriksa sama ada cap jari betul. Cukup klik tidak dan teruskan ke langkah seterusnya.

2. Mengesahkan Cap Jari

Cap jari PGP Thomas Voegtlin:

  • Cap jari PGP: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
  • Cap jari tanpa ruang: 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6

Sumber yang sah:

https://www.youtube.com/watch?v=7D83IpdiF-U

Kita sekarang perlu mengesahkan apakah cap jari ini sesuai dengan kunci awam yang baru kita import.

Untuk melakukannya, klik kanan sijil pengimport yang diimport di Kleopatra dan klik butiran. Di bahagian bawah anda akan melihat cap jari.

cap jari kunci awam

Sekiranya sesuai dengan yang dikongsi, kuncinya adalah sah. Sekarang mari kita sahkan tandatangan dompet.

3. Sahkan tandatangan dompet

Untuk mengesahkan tandatangan, klik Decrypt / Verify pada bar alat Kleopatra. Sekarang arahkan ke folder dompet dan buka fail .exe atau fail .asc.

nyahsulit mengesahkan tandatangan

Kleopatra kini akan mengesahkan kedua-dua fail dan menghasilkan hasil.

Selepas pengesahan berjaya, anda akan melihat tetingkap berikut.

mengesahkan tandatangan

Semua operasi selesai:

disahkan ‘electrum.4.0.4-setup.exe’ dengan ‘electrum.4.0.4-setup.exe.asc’: Data tidak dapat disahkan.

Tandatangan dibuat pada hari Khamis, 15 Oktober 2020 11:51:39 PM

Dengan sijil:

Thomas Voegtlin (https://electrum.org) (2BD5 824B 7F94 70E6)

Kunci yang digunakan tidak disahkan oleh anda atau orang yang dipercayai.

Catatan: Nombor versi dan tarikhnya mungkin berbeza pada anda.

Juga jangan risau dengan teks tebal yang bertuliskan “Data tidak dapat disahkan” Ini bermaksud bahawa anda tidak mempercayai kunci ThomasV secara manual yang akan kami tunjukkan pada langkah seterusnya.

Anda boleh mengabaikan mesej amaran ini dengan selamat. Yang penting ialah cap jari.

Klik pada log audit tunjuk dan anda akan melihat cap jari utama. Sekiranya ia sepadan maka itu adalah tandatangan yang sah. Anda telah mengesahkan muat turun electrum dan kini anda boleh memasang atau mengemas kini dompet dengan selamat.

Contohnya jika tandatangan tidak sah maka selepas pengesahan Kleopatra akan memberi amaran kepada anda dengan mesej merah besar seperti ini dengan mesej berikut:

tandatangan tidak sah

Tandatangan tidak sah: Tandatangan buruk

Pilihan: Memperakui kunci pembangun

Setelah anda mengesahkan tandatangan dan cap jari yang disahkan, anda boleh terus maju dan mempercayai kunci awam pemaju electrum.

Untuk melakukannya, klik kanan sijil dan klik sijil.

Anda mesti melihat mesej berikut:

Untuk mengesahkan sijil lain, pertama anda perlu membuat sijil OpenPGP untuk diri anda sendiri.

Adakah anda ingin membuatnya sekarang?

pasangan kunci baru

Klik Ya. Kemudian masukkan nama, e-mel dan klik buat. Sekarang anda akan diminta memasukkan frasa laluan untuk melindungi kunci baru anda.

Pilih kata laluan dan klik buat untuk berjaya mencipta pasangan kunci baru. Setelah selesai, klik selesai dan klik perakuan. Masukkan kata laluan sekali lagi dan anda akan melihat mesej yang mengatakan disahkan.

Anda berjaya mengesahkan kunci awam ThomasV.

Sekarang jika anda menyahsulit / mengesahkan fail electrum, anda akan mendapat mesej berikut:

sijil dipercayai

Disahkan:

Tandatangan yang sah oleh [email protected]

Tandatangannya sah dan kesahihan sijil dipercayai sepenuhnya.

Itu sahaja! Anda berjaya mengesahkan tandatangan dompet electrum anda. Anda pandai memasang.

Catatan: Kunci yang anda buat sendiri adalah kunci peribadi anda.

Lain kali apabila anda memuat turun atau mengemas kini electrum, anda tidak perlu mengimport kunci awam ThomasV lagi kerana anda sudah mengimport dan mengesahkan sijil.

Cukup periksa tandatangan yang sah. Itu sahaja yang penting.

Juga pada masa akan datang Thomas V mungkin bukan penyelenggara pelanggan electrum. Dalam kes ini, anda perlu mengimport kunci awam pemaju sesiapa sahaja yang mengekalkan projek.

Mudah-mudahan anda telah belajar cara mengesahkan tandatangan GPG dan anda sekarang tahu cara memeriksa muat turun electrum adalah sah.

Ini adalah bagaimana anda mengesahkan tandatangan pada dasarnya untuk sebarang perisian. Anda mesti mengesahkan tandatangan digital sebelum memasang perisian.

Panduan yang serupa:

  • Mengapa pembela Antivirus dan Windows menyekat / membuang dompet
  • Cara menandatangani mesej dengan alamat Bitcoin?
  • Ketahui lebih lanjut mengenai biji dompet electrum
  • Cara mengimport kunci peribadi ke dalam electrum
  • Dompet electrum sandaran