Officine Bitcoin Bitcoin-only урок Этот проект поддерживается valerio-vaccaro

🌍 Переводы

🇨🇳 中文 🇬🇧 English 🇪🇸 Español 🇵🇹 Português 🇷🇺 Русский 🇫🇷 Français 🇩🇪 Deutsch 🇮🇹 Italiano 🇭🇺 Magyar 🏳️ Milanés 🏳️ Veneto

cover Проверка криптографических подписей — это фундаментальная практика обеспечения безопасности, которую каждый пользователь программного обеспечения с открытым исходным кодом должен выработать в своей повседневной жизни.

Открытый исходный код по своей сути поддается модификации, а это означает, что теоретически любой может внедрить бэкдоры, атаки или вредоносный код в приложения, которые вы используете для практики, пока изучаете протокол Bitcoin.

Как обучающийся пользователь, у вас есть возможность лично проверить, не было ли изменено загруженное программное обеспечение, и вам следует сделать это перед его установкой и использованием.

Прежде чем начать, давайте также приведем классику презентаций Officine Bitcoin: мем. Презентация не будет тяжелой, но давайте сразу разгрузим атмосферу.

meme

Как это сделать?

Разработчики выпускают новые версии программного обеспечения, всегда сопровождая их криптографической подписью. Это означает, что помимо обновления программного обеспечения они выпускают его, удостоверяя, что привязали его к определенному цифровому отпечатку пальца. Напоминание: цифровая подпись, созданная с помощью закрытого ключа, уникальна и не может быть изменена.

Все, что вам нужно, это пакет GPG для продолжения проверки подписи.

Предварительные условия для этого урока

Краткое описание асимметричной криптографии.
Предметы для проверки:
- программное обеспечение (бинарный, apk и т. д.)
- цифровая подпись разработчика, обычно это файл .asc, .sig или контрольная сумма.
Инструменты для проверки:
- GPG люкс
- терминал (действителен как для Linux, так и для Win)
  Асимметричное шифрование

Здесь есть два ключа, связанных друг с другом: открытый ключ и закрытый ключ. Как следует из названий:

Открытый ключ находится в свободном доступе и может быть передан кому угодно.
Закрытый ключ хранится у его владельца.

Данные, зашифрованные открытым ключом, можно расшифровать только соответствующим секретным ключом. Это позволяет любому отправлять зашифрованные данные владельцу пары ключей без предварительного раскрытия секретной части.

Криптография с открытым ключом медленнее, чем симметричная криптография, и не подходит для шифрования больших данных. Однако он позволяет безопасно распределять ключи шифрования. Некоторые часто используемые алгоритмы криптографии с открытым ключом включают RSA, ECC, ElGamal и DSA.

Сторона разработчика: новое обновление

Разработчик выпускает открытый исходный код, который по своей природе не зашифрован. Он создает из него криптографический хэш (и это генерирует checksum) и шифрует дайджест своим закрытым ключом: это создает подпись, тот файл .sig или .asc, который ожидался ранее.

После этого процесса разработчик загружает оба файла на сайт или в репозиторий Github. Здесь начинается ваша загрузка.

Тогда вам понадобится открытый ключ разработчика. Иногда он находится в репозитории Github, иногда на общедоступных серверах (keyserver). Хотя исследование может потребовать усилий, открытый ключ является незаменимым элементом проверки программного обеспечения, поэтому постарайтесь его получить.

В случае затруднений задавайте вопросы в группе Telegram Officine Bitcoin, где вы найдете инструкции по получению конкретного открытого ключа.

Для проверки целостности данных получатель расшифровывает подпись с помощью открытого ключа отправителя, получая результат:

а. данные считаются достоверными и не изменяются во время передачи. б. данные потенциально были подделаны.

Зашифровывая хеш-значение с помощью закрытого ключа, подписи PGP гарантируют безопасность самой контрольной суммы и ее связь с личностью отправителя. Это предотвращает подделку подписи измененных данных.

Подписи можно использовать для проверки чего угодно: файлов, электронных писем, документов и загрузок программного обеспечения. Проверяя подпись PGP, вы доказываете, что данные действительно получены из надежного источника и не повреждены.

И именно проверку мобильного APK вы сможете проверить сейчас.

Например, давайте воспользуемся загрузкой Phoenix, кошелька LN, не связанной с хранением, чтобы разобраться с этим конкретно в предстоящий вечер Officine Bitcoin.

Загрузите и проверьте кошелек Phoenix (Acinq)

Если вы уже были на сайте Acinq, разработчика Phoenix, вы уже знаете, что загрузка доступна в официальных магазинах для Android и iOS. Возможно, вы никогда не замечали, но apk-файл также доступен для Android.

Поехали!, чтобы найти файлы apk и Signature, которые вы загрузите с помощью wget. В случае Phoenix файл, содержащий подпись для проверки, называется SHA256SUMS.ASC.

В том же репозитории также есть инструкции по загрузке публичного ключа, соответствующего ключу подписи E04E48E72C205463 (уникальный цифровой отпечаток ключей Drouinf). Скопируйте ссылку и загрузите ее с помощью wget или следуйте инструкциям, предложенным в соответствующем разделе репозитория.

⚠️ Открытый ключ необходимо не только импортировать, но и загрузить. ⚠️ Загрузка файлов должна происходить в одну и ту же директорию.

Открыть терминал

С помощью терминала перейдите в каталог, в который были загружены apk и файл SHA256SUMS.ASC, и выполните команды по порядку.

Если проверка прошла успешно, вы можете перенести APK на свой мобильный телефон и установить приложение.

Сложная проверка

Причин, по которым проверка подписи затруднена, может быть несколько, и они почти всегда связаны с неустройством или опытом:

файлы apk и/или .asc были загружены несколько раз, поэтому в каталоге они появляются - например, странные имена, такие как имя_файла-1 или имя_файла(1)
apk и .asc не находятся в одном каталоге.
Открытый ключ был загружен, но не импортирован в связку ключей gpg.

Однако могут возникнуть и другие ситуации, в которых – даже при правильном использовании – проверка не удалась. Важно проверить появившуюся в терминале ошибку, скопировать ее и начать поиск решения в Интернете.

Проверьте с помощью Sparrow Wallet

Однако, если вы уже используете Sparrow Wallet, вы можете приступить к проверке загрузок с помощью этого программного обеспечения, загрузке и установке которого должна предшествовать тщательная и строгая проверка с помощью GPG.

Запустите кошелек Sparrow и найдите в меню Tools -> Verify Downloads.

Откроется интерфейс с просьбой вставить только что загруженные файлы. При нажатии на Browse открывается файловый менеджер, для загрузки каждого файла в необходимое поле.

Иногда форма интерфейса завершается сама. Если это не так, заполните все поля соответствующими файлами.

Положительный результат графически отображается зелеными галочками и подтверждением Ready to install + <имя файла="">.

Поддержка обучения

Если вы участвовали в живой презентации Telegram, вы можете считать это еще одним шагом к вашему личному суверенитету (не только финансовому). Если вы пропустили это, не отчаивайтесь: эти заметки призваны помочь вам наверстать упущенное, и, кроме того, вы должны знать, что мы снова предложим это на Officine.

Чтобы не пропустить следующую презентацию, присоединяйтесь к группе Telegram, чтобы всегда оставаться в курсе событий.

Вы также можете выполнить поиск ближайшего к вам Satoshi Spritz. Satoshi Spritz — это местная встреча, на которой мы говорим только о Bitcoin, где вы можете задать свои вопросы и попросить других опытных биткойнеров ответить на них. По ссылке вы найдете карту полуострова.

Наконец, если вы не можете найти встречу рядом с вами, вы можете воспользоваться еженедельными прямыми трансляциями SatoshiSpritz Connect, виртуальной встречи, созданной для тех, кто не может присутствовать на Satoshi Spritz, или помочь небольшим встречам делать заметки и находить вдохновение для своих презентаций.