Beim Erstellen einer sicheren Offline-Brieftasche besteht der erste Schritt darin, eine Software oder ein Betriebssystem (z. B. Ubunutu) herunterzuladen, um die Brieftasche zu erstellen.
Wie können Sie überprüfen, ob die Software, die Sie herunterladen, nicht manipuliert wurde?
Einige Downloads haben einen SHA der Datei auf der Download-Seite. Aber ein Hacker könnte den SHA auf der Download-Seite ändern. Woher wissen Sie also, dass die Datei nicht befleckt ist und der SHA der richtige SHA der befleckten Datei ist?
Beispielsweise enthält die Download-Seite für Armory Installationsdateien und SHAs für einige der Dateien.
Wie würden Sie überprüfen, ob der Download von Ubuntu nicht verdorben ist?
Es hängt alles von den Sicherheitsmechanismen Ihres Betriebssystems ab. Unter Ubuntu werden Pakete signiert und der Installer prüft die Signatur. Ein Man-in-the-Middle oder eine betrügerische Mirror-Site kann also die von mir installierte Kopie von Electrum nicht modifiziert haben.
Die Sicherheit Ihrer Bitcoins auf Ihrer Maschine hängt nicht nur von Ihren Bitcoin-Anwendungen ab. Wenn das Betriebssystem selbst kompromittiert ist, kann es Ihre Bitcoins stehlen (mithilfe eines Keyloggers, um die möglichen Passwörter zu finden). Achten Sie also darauf, ein sicheres Betriebssystem mit Sicherheitsupdates usw. zu verwenden.
(Ich kann die anderen Antworten noch nicht kommentieren, da ich keine 50 Wiederholungen habe, aber es ist völlig falsch zu glauben, dass ein MITM nicht ändern kann, was sich auf durch HTTPS geschützten URLs befindet, von denen Sie glauben, dass Sie sie sehen ... EIN MITM könnte sich irgendwo in der Mitte befinden, einschließlich zwischen Ihrem Online-Computer und Ihrem Browser, und Sie glauben machen, dass die angezeigte Website die richtige ist, und Sie glauben machen, dass die HTTPS-Signatur legitim ist. Solche Angriffe, die durch Rootkits ermöglicht werden, sind genau eine davon der Grund, warum Menschen völlig offline Computer und Live-CD/DVD verwenden, um Cold-Storage-Wallets zu erstellen)
Für Linux müssen Sie zunächst eine .iso -Datei d/l , die Sie brennen möchten, und nach dem Brennen Ihre .iso - Datei überprüfen, indem Sie die gesamte DVD von einem Offline-Computer aus überprüfen.
Was folgt , mag paranoid aussehen, ist es aber wirklich nicht: Es handelt sich lediglich um bewährte Sicherheitspraktiken, und es dauert nur wenige Augenblicke, um es richtig zu machen ...
Überprüfen Sie nicht einfach den SHA1 Ihrer .iso -Datei , nachdem Sie sie heruntergeladen haben: Es kann zwischen dem Moment, in dem Sie den Download abgeschlossen haben / Prüfsummen erstellt haben, und während des Brennens hintertürt werden. Oder der Computer, den Sie verwenden, um den SHA1 zu überprüfen / zu brennen, ist möglicherweise kompromittiert und gibt Ihnen daher gefälschte Werte zurück.
Idealerweise würden Sie:
Machen Sie jetzt nicht den Fehler, die Selbstverifizierungsprozedur Ihrer DVD zu verwenden, sobald Sie sie hochgefahren haben. Wenn es eine Hintertür hat, wird es Ihnen sagen, dass alles in Ordnung ist.
Finden Sie die offiziellen SHA1-Summen für die .iso -Datei, die Sie heruntergeladen haben. Diese können ebenfalls kompromittiert sein, sodass Sie vielleicht jemanden aus Ihrer Familie oder einen Freund am Telefon anrufen und ihn bitten möchten, zu der URL zu gehen, die die Hashes enthält, oder Sie möchten vielleicht zu einem öffentlichen Computer oder einem Computer bei der Arbeit gehen: überall nicht derselbe Ort, an dem Sie die DVD heruntergeladen/herausgegeben haben.
Führen Sie nun von einem Offline-Computer aus (aber nicht während Sie von der gerade gebrannten DVD booten) dies aus, um Ihre DVD zu überprüfen:
</dev/sr0 head -c "925892608" | sha1sum
Sie können nicht einfach "cat /dev/sr0 | sha1sum" : wird aufgrund des letzten Blocks, der auf DVDs eine feste Größe hat, nicht funktionieren. Sie müssen die genaue Anzahl von Bytes eingeben.
Dies dauert einige Zeit (ca. 30 Sekunden, abhängig von Ihrer Hardware).
Beachten Sie das führende "<" in diesem Befehl.
Überprüfen Sie, ob Ihr SHA1 übereinstimmt.
Wenn es übereinstimmt, dann ist es sehr, sehr wahrscheinlich, dass Sie die offizielle Version haben. Dies ist kein Beweis dafür, dass die offizielle Veröffentlichung selbst keine Hintertür ist oder dass die rdrand - Funktion Ihrer CPU keine Hardware-Hintertür hat, aber es ist ein guter Anfang.
So verifiziere ich also meine Linux Live DVD. Es reicht nicht aus, nur die URL mit den SHA1-Hashes zu betrachten . Wenn Sie einem MITM gegenüberstehen, wird Ihre DVD durch Hintertüren geschützt und die SHA1-Hashes werden ebenfalls gefälscht.
Aus diesem Grund verwenden Sie einen anderen Kanal, um den SHA1 aufzuschreiben: Sie schreiben ihn entweder früher/später am Tag/in der Woche, wenn Sie an einem ganz anderen Ort sind, und verwenden einen anderen Computer ... Oder Sie rufen jemanden an, der weit von Ihrem Ort entfernt ist und bitten Sie ihn, den SHA1 zu überprüfen.
Wenn Sie den .gpg-Schlüsseln von Ubuntu vertrauen, können Sie diese verwenden, um die Hashes zu überprüfen, aber wenn Sie einem MITM gegenüberstehen, füttert der Angreifer Sie möglicherweise auch mit gefälschten .gpg-Schlüsseln.
Wahrscheinlich ist es besser, eine Bitcoin-Adresse mit vanytigen zu erstellen .
Sie können einfach das Repository klonen, einen Tar-Ball erstellen, danach die Quelle auf Ihre Offline-Station verschieben und vanitygen hier kompilieren. Sie können eine beliebige Anzahl von Adressen offline generieren und Bitcoin an diese Adressen senden (genannt "Cold-Wallet").
Wie Sie bemerken, "Hacker könnte den SHA ändern", handelt es sich um einen Man-in-the-Middle- Angriff. Die meisten sicher ausgerichteten Projekte haben einen öffentlichen gpg-Schlüssel auf der Homepage. Sie können .sig-Dateien verifizieren, schauen Sie sich zB die Tails-Download-Seite an . Wie auch immer, Man-in-the-Middle kann diesen öffentlichen Schlüssel ändern, falls Sie ihn noch nicht haben.
Aus diesem Grund sollten Sie Zugang zu einem verifizierten Anbieter erhalten oder Tor mit https-Sites verwenden, um diese Schlüssel vorher herunterzuladen. Auf die gleiche Weise sollten Sie SHA256SUMs an den Standorten überprüfen, an denen keine öffentlichen gpg-Schlüssel vorhanden sind.
Sie sollten bedenken, dass jede Website unkenntlich gemacht werden kann, SHA durch bösartige ersetzt wird und jede Software infiziert werden kann. Es wird kein Man-in-the-Middle-Angriff mehr sein, aber wenn Sie einen öffentlichen Schlüssel des Autors haben, können Sie diese Infektion als Pionier erkennen. Wenn Sie außerdem Quellcode verwenden, können Sie der Community bei der Forensik helfen und eine Art Sicherheit erlangen.
Sie sollten Ubuntu von dieser Seite herunterladen .
Sehen,
ripazha
kaoD