Jaka jest strona electrum? Electrum.org oczywiście, więc bezpiecznie jest pobierać stamtąd rzeczy, prawda? Albo prawie bezpiecznie.
W 2018 roku (coś koło tego) ktoś włamał się przez dziurę w Wordpress (?) i podmienił plik Linux Minta na zarażoną wersję systemu. Oczywiście na oryginalnej stronie, więc ... co zrobić by być pewnym, że pobrany plik jest oryginalny? (Strona Electrum jest napisana w rozwiązaniach "po stronie klienta", więc problem z LM by nie wystąpił, ale może ktoś uzyska dostęp do serwera czy coś).
Każda ważniejsza aplikacja jest podpisana i można pobrać i sprawdzić czy podpis się różni czy jest taki sam. W ten sposób będziemy wiedzieli, że tylko jedna (prawdopodobnie jedna) osoba na świecie może to zrobić i jest to twórca.
1) Pobierz klucz ThomasV
Na stronie mamy dostępny klucz, który potrzebujemy zaimportować by zweryfikować kto podpisał Electrum. Głównym tutaj kluczem jest klucz ThomasaV (dla Electrum), który pobierzemy np.:
https://raw.githubusercontent.com/spesmilo/electrum/master/pubkeys/ThomasV.asc
Możemy (na szybciora, by pominąć punkt drugi) wydać komendę:
gpg --keyserver keys.gnupg.net --recv-keys 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6 |
Tutaj klucz zostanie pobrany z jeszcze innego źródła (jeśli nie ufamy Githubowi).
Są też inne opcje, ale te są spoko
2) Zimportuj klucz
Jeśli wykonaliśmy komendę GPG to mamy już zimportowany klucz i gotowy. Jeśli pobraliśmy plik to robimy
gpg --import ThomasV.asc |
I klucz zostanie dodany do naszej kolekcji kluczy :P
3) Pobieramy Electrum i sygnaturę
Pobieramy oba pliki i do jednego katalogu
4) Wykonujemy weryfikację
Wydajemy polecenie
gpg --verify electrum-3.3.8-x86_64.AppImage.asc |
I zacznie się weryfikacja. Jeśli plik jest poprawny, to (pomimo paru błędów) dostaniemy informacje:
gpg: przyjęto obecność podpisanych danych w 'electrum-3.3.8-x86_64.AppImage' |
Jeśli nie to dla przykładu:
gpg: przyjęto obecność podpisanych danych w 'electrum-3.3.8-x86_64.AppImage' gpg: Podpisano w czw, 11 lip 2019, 16:26:15 CEST gpg: przy użyciu klucza RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6 gpg: NIEPOPRAWNY podpis złożony przez ,,Thomas Voegtlin (https://electrum.org) <[email protected]>'' [nieznany] |