Jaka jest strona electrum? Electrum.org oczywiście, więc bezpiecznie jest pobierać stamtąd rzeczy, prawda? Albo prawie bezpiecznie.

W 2018 roku (coś koło tego) ktoś włamał się przez dziurę w Wordpress (?) i podmienił plik Linux Minta na zarażoną wersję systemu. Oczywiście na oryginalnej stronie, więc ... co zrobić by być pewnym, że pobrany plik jest oryginalny? (Strona Electrum jest napisana w rozwiązaniach "po stronie klienta", więc problem z LM by nie wystąpił, ale może ktoś uzyska dostęp do serwera czy coś).

Każda ważniejsza aplikacja jest podpisana i można pobrać i sprawdzić czy podpis się różni czy jest taki sam. W ten sposób będziemy wiedzieli, że tylko jedna (prawdopodobnie jedna) osoba na świecie może to zrobić i jest to twórca.

1) Pobierz klucz ThomasV

Na stronie mamy dostępny klucz, który potrzebujemy zaimportować by zweryfikować kto podpisał Electrum. Głównym tutaj kluczem jest klucz ThomasaV (dla Electrum), który pobierzemy np.:

https://raw.githubusercontent.com/spesmilo/electrum/master/pubkeys/ThomasV.asc

Możemy (na szybciora, by pominąć punkt drugi) wydać komendę:

gpg --keyserver keys.gnupg.net --recv-keys 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6

Tutaj klucz zostanie pobrany z jeszcze innego źródła (jeśli nie ufamy Githubowi).

Są też inne opcje, ale te są spoko

2) Zimportuj klucz

Jeśli wykonaliśmy komendę GPG to mamy już zimportowany klucz i gotowy. Jeśli pobraliśmy plik to robimy

gpg --import ThomasV.asc

I klucz zostanie dodany do naszej kolekcji kluczy :P

3) Pobieramy Electrum i sygnaturę


Pobieramy oba pliki i do jednego katalogu

4) Wykonujemy weryfikację

Wydajemy polecenie

gpg --verify electrum-3.3.8-x86_64.AppImage.asc

I zacznie się weryfikacja. Jeśli plik jest poprawny, to (pomimo paru błędów) dostaniemy informacje:


gpg: przyjęto obecność podpisanych danych w 'electrum-3.3.8-x86_64.AppImage'
gpg: Podpisano w czw, 11 lip 2019, 16:26:15 CEST
gpg:                przy użyciu klucza RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Poprawny podpis złożony przez ,,Thomas Voegtlin (https://electrum.org) <[email protected]>'' [nieznany]
gpg:                         alias ,,ThomasV <[email protected]>'' [nieznany]
gpg:                         alias ,,Thomas Voegtlin <[email protected]>'' [nieznany]
gpg: OSTRZEŻENIE: Ten klucz nie jest poświadczony zaufanym podpisem!
gpg:              Nie ma pewności co do tożsamości osoby która złożyła podpis.
Odcisk klucza głównego: 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6


Jeśli nie to dla przykładu:

gpg: przyjęto obecność podpisanych danych w 'electrum-3.3.8-x86_64.AppImage'
gpg: Podpisano w czw, 11 lip 2019, 16:26:15 CEST
gpg:                przy użyciu klucza RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: NIEPOPRAWNY podpis złożony przez ,,Thomas Voegtlin (https://electrum.org) <[email protected]>'' [nieznany]