Jak sprawdzić hash (sumę kontrolną) / zweryfikować podpis PGP aplikacji Ledger Live

Portfele sprzętowe, mimo że zapewniają najbezpieczniejsze rozwiązanie do przechowywania, wielu użytkowników nadal traci swoje monety. Szczególnie nowicjusze i to głównie z powodu ich zaniedbania. Dają się nabrać na najbardziej oczywiste oszustwa.

Pierwszym krokiem, który musisz podjąć, aby chronić swoją kryptowalutę, jest trzymanie się z dala od oszustw phishingowych.

Po niedawnym wycieku danych na stronie Ledger regularnie odbywają się kampanie phishingowe na Twitterze / YouTube, SMS-ach i e-mailach. Istnieje wiele doniesień o użytkownikach, którzy padli ofiarą takich ataków phishingowych.

Pamiętaj, że głównym celem hakerów jest fraza początkowa odzyskiwania. Większość technik phishingowych koncentruje się na uzyskaniu frazy odzyskiwania.

Upewnij się, że Twoja 24-słowna fraza do odzyskania jest bezpieczna, prywatna i całkowicie offline. Nigdy, przenigdy nie udostępniaj nikomu swojej frazy odzyskiwania kopii zapasowej. Nie przechowuj również kopii cyfrowej. Nie wprowadzaj tych informacji na komputerze, smartfonie ani w Internecie. Nie rób zdjęć i nie drukuj. Powinieneś je zapisać tylko na kartce papieru lub na metalowej płytce. W przyszłości będziesz potrzebować tych informacji tylko do odzyskania środków w przypadku zgubienia lub uszkodzenia urządzenia.

Frazę przywracającą należy wprowadzać tylko w legalnym portfelu sprzętowym. Oto, jak możesz sprawdzić, czy Twoje urządzenie Ledger jest oryginalne:

https://support.ledger.com/hc/en-us/articles/360002481534-Check-if-device-is-gresent

Oprócz weryfikacji autentyczności urządzenia musisz również upewnić się, że korzystasz z oryginalnej aplikacji Ledger Live. Możesz to zrobić, sprawdzając hash / weryfikujący podpis Ledger Live.

W tym przewodniku dla początkujących zobaczmy, jak sprawdzić hash (sumę kontrolną) / zweryfikować podpis PGP Ledger Live.

Dlaczego warto zweryfikować Ledger Live?

Niektórzy mogą twierdzić, że weryfikacja autentyczności Ledger Live nie ma znaczenia, ponieważ klucze prywatne są bezpiecznie przechowywane na urządzeniu. To prawda. Cały sens portfela sprzętowego polega na tym, że zapewniają one bezpieczeństwo monetom, nawet jeśli są obsługiwane w zagrożonym środowisku. Jednak nadal jesteś bardzo podatny na ataki phishingowe.

Na przykład załóżmy, że pobrałeś Ledger Live z linku e-mail, który niedawno otrzymałeś. Możesz nie wiedzieć, że jest to fałszywa aplikacja portfela, która została zmodyfikowana przez złośliwą stronę trzecią, dopóki nie zweryfikujesz oprogramowania. Teraz samo zainstalowanie złośliwej aplikacji hakerzy nie mogą wykraść środków z portfela sprzętowego. Ale to zainfekowane oprogramowanie może oszukać Cię na wiele sposobów.

1. Fałszywa aplikacja portfela może zapytać o szczegóły Twojej 24-słownej frazy odzyskiwania. Wielu użytkowników wie, że fraza odzyskiwania nie powinna być wprowadzana na niczym innym niż na urządzeniu Ledger. Ale jak powiedzieliśmy, nowi użytkownicy mogą nie być tego świadomi i daliby się nabrać na tę technikę.

Pamiętaj, że oprogramowanie Ledger Live nigdy nie poprosi o podanie frazy odzyskiwania ani hasła. Jeśli aplikacja prosi o podanie frazy odzyskiwania, jest oczywiste, że jest to złośliwa aplikacja zaprojektowana do kradzieży monet.

2. Zagrożona aplikacja na żywo księgi głównej będzie miała backdoora i może generować skrócony adres naśladujący adres docelowy.

Pamiętaj, że zanim potwierdzisz jakąkolwiek transakcję, sprawdź adres docelowy na swoim urządzeniu Ledger.

Aby chronić się przed takimi złośliwymi modyfikacjami, upewnij się, że;

  1. Zawsze pobieraj Ledger na żywo z oficjalnej strony internetowej.
  2. Sprawdź aplikację Ledger Live przed instalacją.

Weryfikacja oprogramowania to podstawowy krok bezpieczeństwa

Portfel sprzętowy to doskonały początek. Ale nadal musisz podjąć wszelkie środki ostrożności, aby chronić swoje kryptowaluty przed złośliwymi praktykami.

Nie tylko aplikacja portfela, ale należy to zrobić z każdym oprogramowaniem instalowanym na komputerze, zwłaszcza że masz do czynienia z kryptowalutami. Musisz być świadomy jego pochodzenia i zweryfikować oprogramowanie, aby upewnić się, że jest autentyczne.

Jest to standardowa praktyka i jako użytkownik kryptowaluty powinieneś zachować tę zasadę. To znacznie ochroni Cię przed wszelkiego rodzaju złośliwym oprogramowaniem.

Wcześniej wyjaśniliśmy, jak sprawdzić skrót MD5 / SHA256 portfela. Przygotowaliśmy również samouczek dotyczący weryfikacji podpisu portfela Electrum.

Procedura jest taka sama, z wyjątkiem tego, że podpisane skróty Ledger na żywo używają SHA512.

Zobaczmy teraz, jak sprawdzić hash / podpis przed zainstalowaniem aplikacji Ledger Live?

Jak zweryfikować sumę kontrolną Ledger na żywo?

Dla każdego nowego wydania skróty sha512sum sumy rejestrów na żywo są publikowane tutaj: https://ledger-live-tools.now.sh/lld-signatures

https://github.com/LedgerHQ/ledger-live-desktop#signed-hashes

zweryfikuj plik binarny księgi na żywo

Możesz zweryfikować autentyczność instalacji Ledger na żywo, porównując jej skrót sha512 z tym dostępnym na stronie.

Te informacje nie są dostępne na oficjalnej stronie pobierania witryny z jakiegoś powodu. Skrót przechowywany na tym samym serwerze co plik binarny nie zapewnia żadnych zabezpieczeń. Jeśli serwer zostanie zhakowany, oba pliki zostaną przejęte.

Weryfikacja skrótu pakietu instalacyjnego:

Pobierz najnowszą wersję aplikacji Ledger Live na swój komputer. Po pobraniu nie instaluj jeszcze. Zainstaluj dopiero po pomyślnej weryfikacji.

pakiet na żywo księgi głównej

Oto, jak możesz zweryfikować sumę kontrolną w systemach Windows, Linux i Mac.

  1. Okna:

Przejdź do folderu, w którym znajduje się pobrany plik. Naciśnij SHIFT + prawy przycisk myszy i otwórz okno PowerShell. Teraz wprowadź następujące polecenie.

CertUtil -hashfile nazwa_pliku.exe sha512

Przykład:

CertUtil -hashfile ledger-live-desktop-2.18.0-win.exe sha512

skróty podpisane w księdze

Zwróci to następujący wynik iw zależności od używanej wersji wartość skrótu ulegnie zmianie.

Skrót SHA512 pliku ledger-live-desktop-2.18.0-win.exe:

c7e2d95c9dd9d61ad53d6457933f4d970446465b94e9e108cb54fa7ef2eb95d6be70e92b345d34c311c9504687769b44b810586efa85ac013ae1446508f686d8

Skopiuj to i porównaj jego hash sha512 z tym dostępnym na tej stronie: https://ledger-live-tools.now.sh/lld-signatures

księga sum kontrolnych sha512

Jeśli pasuje, masz oryginalną kopię. Możesz iść dalej i zainstalować go

  1. Linux:

W systemie Linux otwórz okno terminala i wprowadź następujący kod.

Sha512sum /

Przykład:

sha256sum /ledger-live-desktop-2.18.0-linux-x86_64.AppImage

  1. Prochowiec:

Na komputerze Mac otwórz okno Terminala i wprowadź następujący wiersz.

shasum -a 512 nazwa pliku

Przykład:

shasum -a 512 ledger-live-desktop-2.18.0-mac.dmg

Po zakończeniu weryfikacji sumy sha512 możesz przystąpić do instalacji.

Weryfikacja podpisu PGP?

Podpisy PGP to świetny sposób na zapewnienie bezpieczeństwa plików i zaufania. Ale nie ma odniesienia do podpisów PGP dostępnych na stronie pobierania w witrynie księgi lub w wersji GitHub.

Gdy opublikują podpis PGP, zaktualizujemy ten artykuł i wyjaśnimy, jak zweryfikować podpis PGP w Ledger Live.