Was ist das richtige Verfahren, um den offiziellen Bitcoin-Client herunterzuladen und zu validieren, dass er von den Entwicklern signiert und nicht von einem Man-in-the-Middle mit Malware infiziert wurde?
Jeff Garzik signiert jede Veröffentlichung mit seinem GPG-Schlüssel (auch hier ). Veröffentlichungsankündigungen (wie diese hier ) finden Sie auf der Bitcoin-Entwicklungsliste von SourceForge.net .
Um die Signatur auf einer Version zu überprüfen, rufen Sie den Schlüssel über den obigen Link ab. Erhalten Sie die Release-Ankündigung über den obigen Link. Holen Sie sich den Download von einer beliebigen Quelle. Zeigen Sie dann mit GPG auf die Veröffentlichungsankündigung (oder den Signaturblock daraus, einschließlich der BEGIN- und END-Zeilen). GPG fragt Sie, welche Datei Sie überprüfen möchten, wählen Sie eine der im Signaturzertifikat aufgeführten aus. Es wird Ihnen dann mitteilen, ob die Veröffentlichung mit der von Jeff Garzik signierten Veröffentlichung identisch ist.
60B0 0235 B335 5D84 BF2A 4E35 DA1D C20F 2DBF 0CA8
.Sie müssen die folgenden Dateien haben:
Laden Sie die Datei herunter, die Sie überprüfen möchten:
wget -c https://bitcoin.org/bin/bitcoin-core-0.13.2/bitcoin-0.13.2-x86_64-linux-gnu.tar.gz
Laden Sie die Hash-Summen enthaltende Datei herunter:
wget -c https://bitcoin.org/bin/bitcoin-core-0.13.2/SHA256SUMS.asc
Laden Sie den Release-Signaturschlüssel herunter:
wget -c https://bitcoin.org/laanwj-releases.asc
Sie überprüfen die Datei wie folgt:
Der Signaturschlüssel muss importiert werden:
gpg --import laanwj-releases.asc
Überprüfen Sie die Signatur der Hashsummendatei:
gpg --verify-files SHA256SUMS.asc laanwj-releases.asc
Es sollte sagen:
Gute Signatur von "Wladimir J. van der Laan.
Jetzt wissen wir also, dass die Hashsummendatei mit dem bereitgestellten Schlüssel signiert ist, dem wir vertrauen.
Überprüfen Sie abschließend die gewünschte Datei:
gpg --verify-files bitcoin-0.12.1-linux64.tar.gz SHA256SUMS.asc
Es sollte sagen:
Gute Signatur von „Wladimir J. van der Laan (Bitcoin Core Binary Release Signing Key)“
Jetzt wissen wir also, dass die tarierte Datei mit dem bereitgestellten Schlüssel signiert ist, dem wir vertrauen.
Überprüfen Sie, ob die Hash-Summe übereinstimmt:
sha256sum --ignore-missing -c SHA256SUMS.asc
Es sollte sagen:
bitcoin-0.13.2-x86_64-linux-gnu.tar.gz: OK
laanwj-releases.asc
Datei, und diese Datei befindet sich in einem Link mit dem Titel v0.11.0+
, nicht 0.12.1. Bedeutet das +
Zeichen hier „oder später“? Wie in "0.11.0 oder höher"?Ich würde dieses Skript aus dem Repository von bitcoin-core holen und dann die Zeile auskommentieren, in der es die clean_up
Funktion am Ende aufruft. Wenn Sie es dann aufrufen, lädt es nicht nur die Binärdateien in /tmp/bitcoin/ herunter, es überprüft auch die Hashes.
Jetzt wollen Sie wissen, ob Sie dieser Person vertrauen können. Er hat ein Konto bei Sourceforge und hat Ihnen eine Datei zur Verfügung gestellt, und Sie haben diese Datei jetzt, und was Sie in Schritt 5 bewiesen haben, ist, dass Sie dieselbe Datei erhalten haben, die er zur Verfügung gestellt hat, im Gegensatz zu einer Fälschung von jemandem aus dem Internet zwischen Ihnen und Sourceforge.
Ich habe das gerade mit Version 0.7.1 gemacht, und diese Person ist Gavin Andresen. Ich habe Kleopatra für Windows, also habe ich auf dem pgp.mit.edu-Zertifikatsserver nach „Gavin Andresen“ gesucht und ein Zertifikat für ihn mit „(CODE SIGNING KEY)“ im Namen gefunden. Ich habe es in Kleopatra importiert und dann überprüft, ob die Prüfsummendatei, die ich in Schritt 3 heruntergeladen habe, von der Person signiert wurde, die diesen Schlüssel erstellt hat (Jeder kann einen Schlüssel erstellen und vorgeben, Gavin zu sein).
Aber seien wir paranoid...
Ich könnte immer noch fehlerhaften Code haben, weil ich möglicherweise das Zertifikat eines Betrügers heruntergeladen und meine Verbindung für den Download gekapert habe. Also habe ich „Gavin Andresen Certificate Fingerprint“ (ohne Anführungszeichen) gegoogelt und eine Seite unter https://bitcointalk.org/index.php?action=printpage;topic=69355.0 gefunden , die den Fingerabdruck von „Gavin“s Zertifikat anzeigt, und es passt. Mit all diesen Informationen gehe ich davon aus, dass es mir gut geht. Wenn nicht, müsste ich mir die Quelle besorgen und sie untersuchen, wie Evil Spork erklärte.
Hier ist eine einfache Anleitung zur Authentifizierung von Bitcoin-qt auf GNU/Linux-Systemen (wie Trisquel, Fedora, Ubuntu, Debian usw.):
(Gavin Andresen)
gpg --import gavinandresen.asc
Klicken Sie auf der Seite https://bitcoin.org/en/download auf die Datei „Linux (tgz)“, um sie herunterzuladen.
Klicken Sie auf der Bitcoin-Downloadseite auf den Link „Release-Signaturen überprüfen“, um die Signatur herunterzuladen.
Authentifizieren Sie, dass die Dateifreigabe vom Kernentwickler kompiliert wurde:
gpg --verify SHA256SUMS.asc
Die wichtigste Zeile, um sicherzustellen, dass Sie sehen, ist:
gpg: Gute Signatur von "Gavin Andresen (CODE SIGNING KEY) "
Eine zweite Zeile, die Sie sehen werden, ist:
gpg: WARNUNG: Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert!
Diese Zeile bedeutet, dass Sie nicht wissen, ob Sie der importierten Signatur vertrauen können. Ohne den Kernentwickler Gavin Andresen persönlich zu treffen oder zumindest seinen öffentlichen Schlüssel von jemandem zu erhalten, dem Sie vertrauen und der ihn getroffen hat, werden Sie dem Download niemals wirklich vertrauen können. Sie können sich jedoch zumindest darauf verlassen, dass alle zukünftigen Releases zumindest von derselben Person kompiliert werden. Wenn Sie "Gute Signatur" nicht sehen, wissen Sie, dass Sie ein Problem haben.
Wenn Sie schon dabei sind, möchten Sie vielleicht die Schlüssel anderer Kernentwickler importieren, nur für den Fall. Es kann sein, dass irgendwann ein anderer Core-Entwickler unterschreibt. Sie haben mehr Vertrauen, dass er von einer vertrauenswürdigen Partei stammt, als wenn Sie den Schlüssel zum Zeitpunkt des Downloads importieren müssen.
Wenn Sie es wirklich sicher haben möchten, gehen Sie im Allgemeinen zur offiziellen Quelle, laden Sie sie herunter, überprüfen Sie den Code und kompilieren Sie ihn dann selbst.
Andernfalls vergleichen Sie es einfach mit dem md5-Hash oder dem sha-Hash.
F: Wie kann man den Bitcoin-Client sicher herunterladen?
Reißer234
Osmose