Сообщений в теме: 23

[G_D]

Нам понадобится пакет программ Gpg4win https://www.gpg4win....et-gpg4win.html.
Устанавливаем с правами администратора.
После установки запускаем приложение Kleopatra.


Качаем, например, кошелек electrum http://electrum.org/#download. Качаем не только исполняемый файл, но и подпись (signature). Подпись качается правым кликом и "Сохранить ссылку как..." Я взял вариант "Windows Installer".

На выходе получаем два файла:
electrum-3.3.6-setup.exe
electrum-3.3.6-setup.exe.asc

Переходим в Kleopatra, нажимаем кнопку "Расшифровать и проверить...", выбираем файл подписи electrum-3.3.6-setup.exe.asc, получаем такую бяку:


Нажимаем кнопку "Искать" и находим сертификат:


Выбираем сертификат и нажимаем кнопку "Подробности..."


Из информации выше мы видим, что файл electrum-3.3.6-setup.exe подписан ключом, созданным 15 июня 2011 года и его отпечаток 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6. Это означает, что разработчик в 2011 году создал ключ и до сих пор подписывает им распространяемые файлы. Далее идем в гугл и делаем запрос отпечатка:


Из результатов поиска видно, что этот отпечаток ключа упоминается в интернете в разные годы в том числе на ресурсах, которым вполне можно доверять, например тут:
http://docs.electrum.../gpg-check.html (официальная документация electrum);
в reddit Bitcoin:

 

десятки раз на bitcointalk и т.д.

Так как мы не можем, например, позвонить ThomasV или получить от него открытку с отпечатком ключа, придется довериться интернетам

Нажимаем кнопку "Импорт", появится окно с предложением добавить сертификат в действительные:


Приложение попросит создать свой сертификат OpenPGP, соглашаемся, далее просто вводим любое имя, далее пароль, появится такое окно:

Выбираем все три идентификатора и ставим галку "Я подтверждаю, что контрольная сумма верна" (именно ее мы выше искали гуглом в различных источниках).

В следующем окне просто нажмите "завершить", вводите пароль.



Таким образом мы удостоверились в двух вещах:
1) В том, что файл electrum-3.3.6-setup.exe действительно подписан ThomasV 16 мая 2019 года с использованием сертификата выпущенного в 2011 году.
2) В том, что файл дошел до нас от автора в неизменном виде.

зы простите, если я запутался в терминах, может кто поправит или дополнит))

[zavet]

Заходишь на офф.сайт кошелька и качаешь ..

[rick]

народ скажите как проверить контрольную сумму что пишут на гитхабе?

[Савлакое]

какую конкретно? на гитхабе зачастую выкладывают именно сигнатуры, тогда так, как в примере в первом посте

[Reutov3]

в консоле наберите

md5sum имя_вашего_файла

[leo Ok]

HashTab установи , если лень из консоли набирать каждый раз

[Denisyk]

А твоя говнопрограмма не может их содержать ? А твой профиль конкретно сейчас точно не взломан ? Любой посредник это риск .

[Old]

Это не посредник, это проверка цифровой подписи, и сигнатуры не зря прикладывают ко всем скачиваемым файлам нормальные разработчики. Соответственно разработчики этим же софтом (gpg) и подписывают файлы. По твоей логике внедряют вирусы перед тем, как залить на официальный сайт))

[Мladislav]

сертификаты хранятся на множестве серверов и они синхронизируют информацию между собой, то есть подменить сертификат на сервере ключей не получится, либо нужно взломать большинство (этакий блокчейн)

загугли: "pgp key server"

[Frog Dron]

отпечаток ключа можно проверить и вручную, зайдя на любой сервер ключей и поискав

https://pgp.mit.edu/...&fingerprint=on

[deda775]

Это как раз по твое логике . Повторю еще раз - зачем нужна прога если качать с офф. сайта кошель ?

[VOLSHEBNIK]

Вариант проверки файла для тех, кто ниасилил метод ТС :

1. скачали файл с оффсайта
2. зажали шифт, нажимаем правую кнопу мыши и нажимаем "Открыть окно Powerpoint здесь"
3. Появилась синяя консоль - пишем там certutil -hashfile первые буквы скачанного файла, подлинность которого нужно установить и затем жмем Таб - должно дописаться имя файла, затем пишем название алгоритма хеширования , он будет указан в том же разделе сайта, откуда скачивали
4. получили строку буковок и циферок- сверяем их с буковками и циферками с сайта в шаге 1. Если не совпадает- значит товарищь майор стоит посередине и уже перехватил и подсунул свой, патриотичный файл.

[zim4ik]

затем, что сайт может быть взломан, но подписать файл закрытым ключом автора хакер никак не сможет, криптография понимаешь ли, как в бетховене

[katana777]

1) можно взломать офф сайт и подсунуть свой файл

2) свой файл можно подсунуть и "на лету"

[guy]

У вас опечатка, должно быть "открыть powershell"

 

Так то так, но многие издатели перестали выкладывать контрольные суммы, дают только gpg сигнатуры. Поэтому стоит взять себя в руки и осилить.

[sabat]

идимо сошлись на том, что цифровая подпись надежнее контрольных сумм

[predok]

Неужели это возраст? Всего 2 пива и уже всякая фигня мерещится: венда и Семеныч..

[MazSponsor]

Я правильно понимаю что сайт https://www.gpg4win....et-gpg4win.html. взломан быть не может никогда и ни кем ? Мы ходим с тобой по кругу ..

[Monreal]

Там контрольные суммы есть для тех кто первый раз.

[Polosat]

можно использовать любой вариант gpg отсюда https://gnupg.org/download/index.html и проверить подпись gpg4win, можно взять gpg из репозиториев любого дистрибутива линукс (там все программы имеют цифровую подпись)