Взломы официальных сайтов и github-профилей криптовалютных проектов происходят достаточно часто, через которые распространяется вредоносный код. Как результат – потеря денежных средств. Очень часто подменяется распространяемое программное обеспечение. Обычно проводится атака на один из узлов сети, затем происходит подмена данных. Существует несколько способов защиты от такой атаки. Проверенным считается PGP-подпись.
Подписи PGP являются доказательством того, что распределенные файлы были подписаны владельцем ключа подписи. Например, если сайт https://electrum.org был взломан и исходные файлы были заменены, проверка подписи завершится неудачно, поскольку злоумышленник не сможет создать действительные подписи.
Вашему вниманию предлагается способ проверки PGP подписи, на примере кошелька Electrum
Этот способ также можно применять для проверки подписей программного обеспечения других криптовалютных проектов.
1) Скачиваем и устанавливаем программу Kleopatra (диспетчер сертификатов и универсальный графический интерфейс к криптографическим алгоритмам)
Нажимаем Поиск на сервере, в строке поиска вводим отпечаток Thomas Voegtlin
Известный на сегодняшний день Fingerprint Thomas Voegtlin
6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
(Источник: видео на youtube https://www.youtube.com/watch?v=7D83IpdiF-U)
2) Затем выбираем результат и жмем кнопку «Импорт», в результате список сертификатов должен выглядеть следующим образом:
3) Далее идем по ссылке https://electrum.org/#download
4) Скачиваем дистрибутив Electrum и файл подписи в одну папку
Файл подписи можно скачать следующим образом:
5) Возвращаемся в программу Kleopatra, нажимаем вкладку «Расшифровать и проверить», выбираем ранее сохраненный файл подписи .asc
Получаем результат:
Результат проверки (Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> (2BD5 824B 7F94 70E6)) свидетельствует о том, что файл был подписан ключом PGP с отпечатком
6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6,
который принадлежит одному из создателей Electrum — Thomas Voegtlin.
Это значит, что установочный файл Electrum кошелька является подлинным.
Если бы проверка подписи не удалась, то вы бы увидели другое сообщение – «Неверная подпись». Значит, установочный файл Electrum скомпрометирован.
С Уважением, BitJackass.