Jaka jest strona electrum? Electrum.org oczywiście, więc bezpiecznie jest pobierać stamtąd rzeczy, prawda? Albo prawie bezpiecznie.

W 2018 roku (coś koło tego) ktoś włamał się przez dziurę w Wordpress (?) i podmienił plik Linux Minta na zarażoną wersję systemu. Oczywiście na oryginalnej stronie, więc ... co zrobić by być pewnym, że pobrany plik jest oryginalny? (Strona Electrum jest napisana w rozwiązaniach "po stronie klienta", więc problem z LM by nie wystąpił, ale może ktoś uzyska dostęp do serwera czy coś).

Każda ważniejsza aplikacja jest podpisana i można pobrać i sprawdzić czy podpis się różni czy jest taki sam. W ten sposób będziemy wiedzieli, że tylko jedna (prawdopodobnie jedna) osoba na świecie może to zrobić i jest to twórca.

1) Pobierz klucz ThomasV

Na stronie mamy dostępny klucz, który potrzebujemy zaimportować by zweryfikować kto podpisał Electrum. Głównym tutaj kluczem jest klucz ThomasaV (dla Electrum), który pobierzemy np.:

https://raw.githubusercontent.com/spesmilo/electrum/master/pubkeys/ThomasV.asc

Możemy (na szybciora, by pominąć punkt drugi) wydać komendę:

Tutaj klucz zostanie pobrany z jeszcze innego źródła (jeśli nie ufamy Githubowi).

Są też inne opcje, ale te są spoko

2) Zimportuj klucz

Jeśli wykonaliśmy komendę GPG to mamy już zimportowany klucz i gotowy. Jeśli pobraliśmy plik to robimy

I klucz zostanie dodany do naszej kolekcji kluczy :P

3) Pobieramy Electrum i sygnaturę

Pobieramy oba pliki i do jednego katalogu

4) Wykonujemy weryfikację

Wydajemy polecenie

I zacznie się weryfikacja. Jeśli plik jest poprawny, to (pomimo paru błędów) dostaniemy informacje:

Jeśli nie to dla przykładu: