Hur verifierar jag Electrums signatur? Kontrollera om din electrum plånbok är legit

Electrum är en av de mest populära Bitcoin-plånböckerna som finns tillgängliga för Windows, Mac, Linux och Android. Det är säkert, snabbt och enkelt att använda. Vem som helst kan ladda ner plånboken och börja använda den direkt. Dessutom är plånboken öppen källkod. Detta är en anledning till att fler användare litar på och använder electrum för att lagra och hantera sina Bitcoins.

Ladda ner electrum plånbok från den officiella webbplatsen: https://electrum.org/#download
Du kan också ladda ner och hitta källkoden till programvaran på deras GitHub-sida: https://github.com/spesmilo/electrum

Nu innan du installerar plånboken eller uppdaterar electrum måste du verifiera signaturen och kontrollera äktheten hos electrum-binärer / källor.

Detta bör göras varje gång du laddar ner eller uppdaterar din befintliga plånbok. Inte bara electrum plånbok utan all programvara som du installerar på din dator. Särskilt Bitcoin- och kryptovalutaplånböcker som hanterar dina privata nycklar bör verifieras innan du använder dem.

Här i den här nybörjarhandboken visar vi dig hur du verifierar elektrumsignatur. Men låt oss först förstå varför användare ska verifiera äktheten hos plånboksnedladdningarna innan de används.

Varför verifiera plånboken?

Den främsta anledningen till att du ska verifiera äktheten hos electrum eller någon plånboksprogramvara är att minska risken för att köra skadlig kod.

Eftersom electrum och andra Bitcoin-plånboksprogram är öppen källkod är de mycket mottagliga för phishing-attacker. En hacker kan enkelt ändra källkoden och distribuera programvaran över webben som ser identisk ut som den ursprungliga plånboken. Den som laddar ner och använder den har hög risk att förlora sina Bitcoins.

Detta har hänt tidigare där hackaren stal 100-talet Bitcoin från electrum-användare genom att distribuera en skadlig kopia av electrum-plånboken. Alla användare som har laddat ner och installerat den falska plånboken har tappat alla sina Bitcoins.

Men vänta? Jag har laddat ner electrum från den officiella webbplatsen electrum.org. Skulle jag fortfarande behöva verifiera PGP-signaturer?

Ja, tänk om hackaren får åtkomst till servern och ändrar nedladdningsfilerna. Det är därför, även om du laddar ner programvara från officiell källa, bör du verifiera signaturer och kontrollera om plånboken är legitim eller inte.

Verifiera hash-filer och GPG-signaturer

Så hur kontrollerar du att plånboksfilen som du laddade ner är legitim och inte ändras av en hackare? Tack vare kryptografi. Det finns två sätt att verifiera integriteten och äktheten hos plånboksprogramvaran.

Verifiera hashfilen för programvaran.
Verifiera GPG-signaturer.

De flesta utvecklare tillhandahåller både hashes och GPG-signaturer så att användare kan identifiera om de installerar en äkta kopia av programvaran eller en modifierad skadlig.

Tänk på hashes som en oföränderlig, unik identifierare som bara tilldelas en viss fil. Om hackaren ändrar programfilerna kommer den inte att matcha hashvärdet från den ursprungliga utvecklaren. I så fall kan du dra slutsatsen att den nedladdade programvaran är falsk och skadad.

Vi har redan gjort en handledning om hur man verifierar MD5, SHA256 kontrollsumma för en plånbok / programvara

Men problemet med den metoden är att hackaren kan skapa en giltig hash för en falsk version och publicera den online. Detta medför ingen säkerhet alls.

Det är därför electrum och andra plånbokutvecklare inte publicerar hash. Istället signerar och delar de sina digitala signaturer.

Verifiera GPG-signaturer

GPG hänför sig i korthet till GNU Privacy Guard är en kryptografi baserad på nyckelpar. GPG används för att kryptera eller signera data för att säkerställa dess äkthet.

Tänk på GPG digital signatur som en handskriven signatur men med den extra fördelen att det är manipuleringsbeständigt.

Så tanken är; innan binärerna släpps till allmänheten signerar utvecklaren nedladdningsfilerna med sin privata nyckel. Användare kan sedan verifiera nedladdningen med hjälp av utvecklarens offentliga nyckel. Om den nedladdade filen ändras eller manipuleras misslyckas signaturverifieringen.

Till exempel signeras Electrum-plånbokskällor och körbara filer av ThomasV. Användare som laddar ner programvara för elektrumplånboken använder ThomasV: s offentliga nyckel för att kontrollera signaturen och verifiera fingeravtrycket. Om filen är förfalskad eller modifierad skulle signaturverifieringen misslyckas och fingeravtrycket matchar inte.

OK! Låt oss nu se hur man verifierar signaturen för electrum-plånboken.

Hur man verifierar elektrumsignatur

Denna handledning beskriver hur man verifierar elektrumsignaturer i Windows. För Mac kan du följa samma handledning. Stegen är ganska lika som Windows. Endast ansökan varierar. För att verifiera signaturer i Windows använder vi Gpg4win. I Mac måste du använda den populära GPG-sviten för PGP-implementering.

Vi skapar en separat guide för Android, Linux och Tails OS.

Ladda ner:

Windows Gpg4win: https://www.gpg4win.org/
Mac GPG-svit: https://gpgtools.org/

1. Ladda ner och installera Gpg4win

Gå vidare och ladda ner Gpg4win till din Windows-dator. När du har laddat ner den måste du kontrollera integriteten för den nedladdade filen.

Det är valfritt men det är bättre att du verifierar det innan du installerar.

För att verifiera om kopian av din Gpg4win är äkta behöver du inte verifiera dess signaturer. För att göra det måste vi installera Gpg4win. Istället kan du bara verifiera installatörens hashvärde som du hittar det här: https://gpg4win.org/package-integrity.html

Se den här guiden om du inte är säker på hur du kontrollerar SHA256-kontrollsumman.

OK! När du har kontrollerat integriteten för det nedladdade gpg4win-installationsprogrammet, fortsätt och installera det.

installera kleopatra

Avmarkera alla andra komponenter utom Kleopatra vid installation.

Kleopatra är ett universellt kryptogränssnitt och en certifikathanterare. Du kan skapa och hantera OpenPGP-certifikat.

När installationsguiden är klar bör Kleopatra startas automatiskt. Om inte, gå till installationskatalogen Gpg4win >> bin och öppna kleopatra.exe.

gpg4win kleopatra

Lämna det nu öppet och börja ladda ner electrum-plånboken och dess PGP-signatur (Pretty Good Privacy).

2. Ladda ner Electrum-installationsprogrammet &signatur

Fortsätt och ladda nu ner electrum-körbara filer till din dator. Det kan vara bärbar version, Windows-installationsprogram eller en fristående körbar.

elektrumsignatur

Oavsett vilket du laddar ner, se till att du också laddar ner lämplig PGP-signatur som finns bredvid den.

Dricks: Högerklicka på signaturen och klicka på spara länk som. Spara signaturen i samma katalog som installationsprogrammet.

Nu ska du ha två filer. Plånboksprogrammet och den öppna PGP-textfilen.

electrum asc-fil

Till exempel om du laddade ner electrum-4.0.4-portable.exe bör du också ha electrum-4.0.4-portable.exe.asc.

Installera eller öppna inte elektrum ännu! Vi har ännu inte verifierat signaturen.

3. Skaffa ThomasV Public GPG-nyckel

För att verifiera elektrumsignaturen behöver du den offentliga GPG-nyckeln för ThomasV

ThomasV (Thomas Voegtlin) är grundaren och den ledande utvecklaren av Electrum-plånboken. Electrum-binärer undertecknas med ThomasV: s offentliga nyckel.

Så för att verifiera signaturen måste du importera den offentliga nyckeln till ThomasV.

Du hittar ThomasVs gpg / pgp offentlig nyckel länkad här på https://electrum.org/#download på toppen.

electrum public key

Du hittar det också här: https://github.com/spesmilo/electrum/blob/master/pubkeys/ThomasV.asc

Högerklicka på länken och spara länken som ThomasV.asc-fil till samma katalog där du redan har laddat ner electrum exe och signaturfilen.

OK! Nu har du den körbara filen, dess signatur och författarens PGP-offentliga nyckel. Låt oss nu verifiera din nedladdning av elektrum.

Verifiera nedladdning av elektrum genom att verifiera GPG-signaturer

Först måste vi importera undertecknarens offentliga nyckel.

1. Importera utvecklare PGP offentlig nyckel

Öppna Gpg4wins underskrift / certifikatverktyg Kleopatra.

Gå nu till filen >> importera och öppna filen ThomasV.asc.

fingeravtrycksverifiering

När den offentliga nyckeln har importerats öppnas ett popup-fönster med följande meddelande:

”För att markera certifikatet som giltigt (grönt) måste det certifieras.

Certifiering innebär att du kontrollerar fingeravtrycket.

Några förslag för att göra detta är:

Ett telefonsamtal till personen.

Använda ett visitkort.

Bekräfta det på en betrodd webbplats. ”

I grund och botten måste vi kontrollera om fingeravtrycket är korrekt. Klicka bara på nej och fortsätt till nästa steg.

2. Validera fingeravtryck

Thomas Voegtlins PGP-fingeravtryck:

PGP-fingeravtryck: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
Fingeravtryck utan utrymme: 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6

Giltig källa:

https://www.youtube.com/watch?v=7D83IpdiF-U

Vi måste nu verifiera om detta fingeravtryck matchar den offentliga nyckel som vi just importerade.

För att göra det högerklickar du på utvecklarens importerade certifikat på Kleopatra och klickar på detaljer. Längst ner ser du fingeravtrycket.

offentligt nyckel fingeravtryck

Om den matchar den som delas om är nyckeln legitim. Låt oss nu verifiera plånbokssignaturen.

3. Verifiera plånbokssignaturen

För att verifiera signaturen, klicka på Decrypt / Verify i Kleopatra-verktygsfältet. Navigera nu till plånboksmappen och antingen öppna .exe-filen eller .asc-filen.

dekryptera verifieringssignatur

Kleopatra kommer nu att verifiera både filerna och producera resultat.

Efter lyckad verifiering bör du se följande fönster.

verifiera signatur

Alla operationer slutförda:

verifierad ‘electrum.4.0.4-setup.exe’ med ‘electrum.4.0.4-setup.exe.asc’: Uppgifterna kunde inte verifieras.

Underskrift skapad torsdagen den 15 oktober 2020 23:51:39

Med certifikat:

Thomas Voegtlin (https://electrum.org) (2BD5 824B 7F94 70E6)

Den använda nyckeln är inte certifierad av dig eller någon betrodd person.

Notera: Versionsnummer och datum kan variera i slutet.

Oroa dig inte för den djärva texten som säger ”Uppgifterna kunde inte verifieras”. Det betyder helt enkelt att du inte har litat på ThomasVs nyckel manuellt som vi kommer att visa i nästa steg.

Du kan säkert ignorera detta varningsmeddelande. Det som är viktigt är fingeravtrycket.

Klicka på visa granskningsloggen så visas det primära nyckelfingeravtrycket. Om det matchar är det en giltig signatur. Du har verifierat din nedladdning av electrum och nu kan du säkert installera eller uppdatera plånboken.

Till exempel om signaturen är ogiltig, så kommer Kleopatra efter verifiering att varna dig med ett stort rött meddelande så här med följande meddelande:

ogiltig dålig signatur

Signaturen är ogiltig: Dålig signatur

Valfritt: Certifiering av utvecklarens nyckel

Nu när du har validerat signatur och verifierat fingeravtryck kan du fortsätta och lita på electrum-utvecklarens offentliga nyckel.

För att göra det högerklickar du på certifikatet och klickar på certifiera.

Du bör se följande meddelande:

För att certifiera andra certifikat måste du först skapa ett OpenPGP-certifikat åt dig själv.

Vill du skapa en nu?

nytt nyckelpar

Klicka på Ja. Ange sedan ditt namn, e-post och klicka på skapa. Nu ombeds du att ange lösenfrasen för att skydda din nya nyckel.

Välj ett lösenord och klicka på skapa för att skapa ett nytt nyckelpar. När du är klar, klicka på Slutför och klicka på certifiera. Ange lösenordet igen så visas ett meddelande som säger certifierat.

Du har framgångsrikt certifierat ThomasV: s offentliga nyckel.

Nu om du dekrypterar / verifierar electrum-filen får du följande meddelande:

certifikat betrodda

Verifierad:

Giltig signatur av [email protected]

Signaturen är giltig och certifikatets giltighet är helt tillförlitlig.

Det är allt! Du har framgångsrikt verifierat signaturen för din electrum-plånbok. Du är bra att installera.

Notera: Nyckeln som du skapade för dig själv är din personliga nyckel.

Nästa gång du laddar ner eller uppdaterar electrum behöver du inte importera ThomasV: s offentliga nyckel igen eftersom du redan har importerat och validerat certifikatet.

Kolla bara efter giltig signatur. Det är allt det betyder.

Även i framtiden kanske Thomas V inte är underhållaren av electrum-klienten. I så fall måste du importera den offentliga nyckeln till utvecklaren vem som underhåller projektet.

Hoppas att du har lärt dig hur du verifierar GPG-signaturer och att du nu vet hur man kontrollerar nedladdning av elektrum är legitimt.

Det är precis hur du verifierar signaturer för i princip vilken programvara som helst. Det är viktigt att du verifierar digitala signaturer innan du installerar någon programvara.

Liknande guider:

Varför Antivirus- och Windows-försvarare blockerar / tar bort plånbok
Hur man signerar meddelande med Bitcoin-adress?
Läs mer om electrum plånboksfrö
Hur man importerar privata nycklar till electrum
Backup electrum plånbok