Как можно безопасно загрузить биткойн-клиента?

Какая правильная процедура загрузки официального клиента биткойнов и подтверждение его подписали разработчики и не заражены каким-либо вредоносным ПО человеком в середине?

28 голосов | спросил ripper234 5 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 05 Sep 2011 02:56:07 +0400 2011, 02:56:07

7 ответов


13

Джефф Гарзик подписывает каждый выпуск своего ключа GPG (также здесь ). Вы можете найти объявления о выпуске (например, этот ) на Система разработки BitcoinSourceForge.net .

Чтобы проверить подпись в релизе, получите ключ из приведенной выше ссылки. Получите уведомление о выпуске по ссылке выше. Получите скачать из любого источника. Затем укажите GPG на аннулирование выпуска (или блок подписи от него, включая строки BEGIN и END). GPG спросит, какой файл вы хотите проверить, выберите любой из них, указанный в сертификате подписи. Затем он скажет вам, является ли релиз идентичным выпуску, подписанным Джеффом Гарзиком.

ответил David Schwartz 14 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 14 Sep 2011 09:25:49 +0400 2011, 09:25:49
2

Инструкции для Linux:

У вас должны быть следующие файлы:

  1. Загрузите файл, который хотите проверить:

    wget -c https://bitcoin.org/bin/bitcoin-core-0.13.2/bitcoin-0.13.2-x86_64-linux-gnu.tar.gz
    
  2. Загрузите хэш-суммы, содержащие файл:

    wget -c https://bitcoin.org/bin/bitcoin-core-0.13.2/SHA256SUMS.asc
    
  3. Загрузите ключ подписи выпуска:

    wget -c https://bitcoin.org/laanwj-releases.asc
    

Вы проверяете файл следующим образом:

  1. Необходимо подписать ключ подписи:

    gpg --import laanwj-releases.asc
    
  2. Проверьте подпись файла суммы хэш-файла:

    gpg --verify-files SHA256SUMS.asc laanwj-releases.asc
    

    Он должен сказать:

      

    Хорошая подпись от «Владимира Дж. ван дер Лаана».

    Итак, теперь мы знаем, что файл хэш-суммы подписан с предоставленным ключом, которому мы доверяем.

  3. Наконец, проверьте интересующий файл:

     gpg --verify-files bitcoin-0.12.1-linux64.tar.gz SHA256SUMS.asc
    

    Он должен сказать:

      

    Хорошая подпись от «Владимира Дж. ван дер Лаана» (ключ подписания бинарного ключа Bitcoin Core) «

    Итак, теперь мы знаем, что tarred-файл подписан с предоставленным ключом, которому мы доверяем.

  4. Убедитесь, что хэш-сумма соответствует:

     sha256sum --ignore-missing -c SHA256SUMS.asc
    

    Он должен сказать:

      

    биткойн-0.13.2-x86_64-linux-gnu.tar.gz: OK

ответил Vlastimil 27 Mayam16 2016, 04:04:39
1

Я бы захватил этот скрипт из репозитория bitcoin-core , затем закомментируйте строку, в которой он вызывает функцию clean_up в конце. Затем, когда вы вызываете его, он не только загружает двоичные файлы в /tmp /bitcoin /, но также проверяет хеши.

ответил knocte 23 J0000006Europe/Moscow 2016, 11:03:05
0
  1. Посетите http://sourceforge.net/projects/bitcoin/files/Bitcoin/
  2. Выберите папку последней версии.
  3. Загрузите один из файлов SHA ... SUMS и просмотрите его в своем любимом текстовом редакторе.
  4. Загрузите установочный файл, который хотите использовать.
  5. Если вы не знаете, как заставить компьютер сообщать вам контрольную сумму файла, вам придется разобраться в этом. Сравните контрольную сумму с той, что находится в файле. Если они совпадают, то вы определили одну важную вещь: загруженный вами файл совпадает с файлом, используемым тем, кто создал эту контрольную сумму.

Теперь вы хотите знать, можете ли вы доверять этому человеку. У него есть учетная запись в Sourceforge, и он сделал файл доступным для вас, и теперь у вас есть этот файл, и то, что вы доказали на шаге 5, состоит в том, что вы получили тот же файл, который он сделал доступным, в отличие от подделки с кем-то в Интернете между вами и Sourceforge.

Я только что сделал это с версией 0.7.1, и этот человек - Гэвин Андресен. У меня есть Kleopatra для Windows, поэтому я посмотрел «Gavin Andresen» на сервере сертификатов pgp.mit.edu и нашел для него сертификат для него («CODE SIGNING KEY» »). Я импортировал его в Kleopatra, а затем подтвердил, что файл контрольной суммы, загруженный на шаге 3, был подписан человеком, который сделал этот ключ (любой может сделать ключ и притвориться Гэвином).

Но давайте будем параноиками ...

У меня все еще может быть плохой код, потому что я мог загрузить сертификат imposter, и мое соединение было захвачено для загрузки. Итак, я googled «Отпечаток сертификата Gavin Andresen» (без кавычек) и нашел страницу в https : //bitcointalk.org/index.php? action = printpage; topic = 69355.0 , который отображает отпечаток сертификата «Gavin», и он соответствует. Со всей этой информацией, я полагаю, я в порядке. Если бы я этого не сделал, мне пришлось бы получить источник и изучить его, как объяснил Злой Спокр.

ответил Dave Scotese 19 12012vEurope/Moscow11bEurope/MoscowMon, 19 Nov 2012 07:24:27 +0400 2012, 07:24:27
0

Простой способ проверки подлинности bitcoin-qt в системах GNU /Linux (например, Trisquel, Fedora, Ubuntu, Debian и т. д.):

  1. Откройте терминал
  2. Загрузите основной ключ PGP-разработчиков ( https://bitcoin.org/en/development )

(Гэвин Андресен)

  1. Импортировать основной ключ PGP разработчиков с помощью GPG:

gpg --import gavinandresen.asc

  1. На странице https://bitcoin.org/en/download нажмите на Загрузите файл «Linux (tgz)».

  2. На странице загрузки биткойна нажмите ссылку «Подтвердить выпуск подписей», чтобы загрузить подпись.

  3. Аутентификация релиза файла была скомпилирована основным разработчиком:

gpg - уточнить SHA256SUMS.asc

Самая важная строка, чтобы убедиться, что вы видите:

gpg: Хорошая подпись от "Gavin Andresen (КОД ПОДПИСАНИЯ КОДА)"

Вторая строка, которую вы увидите:

gpg: ПРЕДУПРЕЖДЕНИЕ: этот ключ не сертифицирован с надежной подписью!

Эта строка означает, что вы не знаете, можете ли вы доверять импортируемой подписи. Если не встретиться с основным разработчиком Gavin Andresen лично или, по крайней мере, получить его публичный ключ от кого-то, кому вы доверяете, кто его встретил, вы никогда не сможете по-настоящему доверять загрузке. Однако вы можете по крайней мере быть уверены, что все будущие выпуски, по крайней мере, составлены одним и тем же человеком. Если вы не видите «Хорошая подпись», вы знаете, что у вас есть проблема.

Пока вы на нем, вы можете на всякий случай импортировать ключи других основных разработчиков. Возможно, в какой-то момент появятся другие основные разработчики. У вас будет больше доверия со стороны доверенной стороны, чем при импорте ключа во время загрузки.

ответил Joe 11 FebruaryEurope/MoscowbTue, 11 Feb 2014 00:39:24 +0400000000amTue, 11 Feb 2014 00:39:24 +040014 2014, 00:39:24
-1

Как правило, если вы хотите, чтобы это действительно было безопасно, вы отправляетесь в официальный источник, загружаете его, проверяете код и компилируете его самостоятельно.

В противном случае просто проверьте его в сравнении с хешем md5 или шахом.

ответил Joe 11 FebruaryEurope/MoscowbTue, 11 Feb 2014 00:39:24 +0400000000amTue, 11 Feb 2014 00:39:24 +040014 2014, 00:39:24
-1

В: Как можно безопасно загрузить биткойн-клиента?

A: https://github.com/bitcoin/bitcoin/downloads

ответил c_k 14 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 14 Sep 2011 12:13:09 +0400 2011, 12:13:09

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132