Перейти к содержимому


Фотография

Как проверить подлинность скачиваемого ПО (например, кошельков) в Windows


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 23

#1 G_D

G_D

    Новичок

  • 1 topics
  • Пользователи
  • Pip
  • 1 сообщений

Отправлено 10 июля 2018 - 08:47

Нам понадобится пакет программ Gpg4win https://www.gpg4win....et-gpg4win.html.
Устанавливаем с правами администратора.
После установки запускаем приложение Kleopatra.
110917-4e3740e6b6cfbacb4488b0bb64c5aa38.

Качаем, например, кошелек electrum http://electrum.org/#download. Качаем не только исполняемый файл, но и подпись (signature). Подпись качается правым кликом и "Сохранить ссылку как..." Я взял вариант "Windows Installer".
110921-73a0829a49874ab1312c27e9bc54ee10.
На выходе получаем два файла:
electrum-3.3.6-setup.exe
electrum-3.3.6-setup.exe.asc

Переходим в Kleopatra, нажимаем кнопку "Расшифровать и проверить...", выбираем файл подписи electrum-3.3.6-setup.exe.asc, получаем такую бяку:
110922-2de3f08e164e01eeb56cf9745a85e5b3.

Нажимаем кнопку "Искать" и находим сертификат:
110923-1022516f70cd68538c067c635ff1055f.

Выбираем сертификат и нажимаем кнопку "Подробности..."
110925-968784c7df40e451dcb2510cf2480fd8.

Из информации выше мы видим, что файл electrum-3.3.6-setup.exe подписан ключом, созданным 15 июня 2011 года и его отпечаток 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6. Это означает, что разработчик в 2011 году создал ключ и до сих пор подписывает им распространяемые файлы. Далее идем в гугл и делаем запрос отпечатка:
110927-2eba6c086fc8dd83d7a89b61536ced48.

Из результатов поиска видно, что этот отпечаток ключа упоминается в интернете в разные годы в том числе на ресурсах, которым вполне можно доверять, например тут:
http://docs.electrum.../gpg-check.html (официальная документация electrum);
в reddit Bitcoin:

 

десятки раз на bitcointalk и т.д.

Так как мы не можем, например, позвонить ThomasV или получить от него открытку с отпечатком ключа, придется довериться интернетам

Нажимаем кнопку "Импорт", появится окно с предложением добавить сертификат в действительные:
110924-dd44e1b658b777d616eac738dced52eb.

Приложение попросит создать свой сертификат OpenPGP, соглашаемся, далее просто вводим любое имя, далее пароль, появится такое окно:
110928-7fae281ce5654d4f6d599b25bb75d782.
Выбираем все три идентификатора и ставим галку "Я подтверждаю, что контрольная сумма верна" (именно ее мы выше искали гуглом в различных источниках).

В следующем окне просто нажмите "завершить", вводите пароль.

110929-3099d857a4627dcb5c82be64095737bb.

Таким образом мы удостоверились в двух вещах:
1) В том, что файл electrum-3.3.6-setup.exe действительно подписан ThomasV 16 мая 2019 года с использованием сертификата выпущенного в 2011 году.
2) В том, что файл дошел до нас от автора в неизменном виде.

зы простите, если я запутался в терминах, может кто поправит или дополнит))


  • 0

#2 zavet

zavet

    Новичок

  • 0 topics
  • Пользователи
  • Pip
  • 26 сообщений

Отправлено 27 июля 2018 - 01:15

Заходишь на офф.сайт кошелька и качаешь ..


  • 0

#3 rick

rick

    МЕСТНЫЙ

  • 0 topics
  • Пользователи
  • PipPipPip
  • 426 сообщений
  • DEPOSIT:300$

Отправлено 20 августа 2018 - 04:39

народ скажите как проверить контрольную сумму что пишут на гитхабе?


  • 0

#4 Савлакое

Савлакое

    Новичок

  • 0 topics
  • Пользователи
  • Pip
  • 2 сообщений

Отправлено 09 сентября 2018 - 06:26

какую конкретно? на гитхабе зачастую выкладывают именно сигнатуры, тогда так, как в примере в первом посте


  • 0

#5 Reutov3

Reutov3

    МЕСТНЫЙ

  • 0 topics
  • Пользователи
  • PipPipPip
  • 286 сообщений

Отправлено 03 октября 2018 - 01:43

в консоле наберите
md5sum имя_вашего_файла

  • 0

#6 leo Ok

leo Ok

    Пользователь

  • 0 topics
  • Пользователи
  • PipPip
  • 46 сообщений

Отправлено 20 октября 2018 - 02:22

HashTab установи , если лень из консоли набирать каждый раз


  • 0

#7 Denisyk

Denisyk

    МЕСТНЫЙ

  • 0 topics
  • Пользователи
  • PipPipPip
  • 509 сообщений

Отправлено 30 ноября 2018 - 08:59

А твоя говнопрограмма не может их содержать ? А твой профиль конкретно сейчас точно не взломан ? Любой посредник это риск .


  • 0

#8 Old

Old

    МЕСТНЫЙ

  • 0 topics
  • Пользователи
  • PipPipPip
  • 244 сообщений

Отправлено 09 декабря 2018 - 08:43

Это не посредник, это проверка цифровой подписи, и сигнатуры не зря прикладывают ко всем скачиваемым файлам нормальные разработчики. Соответственно разработчики этим же софтом (gpg) и подписывают файлы. По твоей логике внедряют вирусы перед тем, как залить на официальный сайт))


  • 0

#9 Мladislav

Мladislav

    Пользователь

  • 0 topics
  • Пользователи
  • PipPip
  • 39 сообщений

Отправлено 31 декабря 2018 - 06:58

сертификаты хранятся на множестве серверов и они синхронизируют информацию между собой, то есть подменить сертификат на сервере ключей не получится, либо нужно взломать большинство (этакий блокчейн)
загугли: "pgp key server"

  • 0

#10 Frog Dron

Frog Dron

    Пользователь

  • 0 topics
  • Пользователи
  • PipPip
  • 32 сообщений

Отправлено 20 марта 2019 - 08:37

отпечаток ключа можно проверить и вручную, зайдя на любой сервер ключей и поискав

  • 0

#11 deda775

deda775

    МЕСТНЫЙ

  • 0 topics
  • Пользователи
  • PipPipPip
  • 185 сообщений

Отправлено 18 апреля 2019 - 08:25

Это как раз по твое логике . Повторю еще раз - зачем нужна прога если качать с офф. сайта кошель ?


  • 0

#12 VOLSHEBNIK

VOLSHEBNIK

    МЕСТНЫЙ

  • 0 topics
  • Пользователи
  • PipPipPip
  • 150 сообщений

Отправлено 22 июня 2019 - 12:52

Вариант проверки файла для тех, кто ниасилил метод ТС :

1. скачали файл с оффсайта
2. зажали шифт, нажимаем правую кнопу мыши и нажимаем "Открыть окно Powerpoint здесь"
3. Появилась синяя консоль - пишем там certutil -hashfile первые буквы скачанного файла, подлинность которого нужно установить и затем жмем Таб - должно дописаться имя файла, затем пишем название алгоритма хеширования , он будет указан в том же разделе сайта, откуда скачивали
4. получили строку буковок и циферок- сверяем их с буковками и циферками с сайта в шаге 1. Если не совпадает- значит товарищь майор стоит посередине и уже перехватил и подсунул свой, патриотичный файл.

110935-a06bad5e6e3ad37a987f87e83b7aab62.110936-4ef170a9aca11652e24640deed6010dd.110937-836050c8f220b4a3961ade9ecf26aa70.


  • 0

#13 zim4ik

zim4ik

    Новичок

  • 6 topics
  • Пользователи
  • Pip
  • 6 сообщений

Отправлено 14 сентября 2019 - 07:52

затем, что сайт может быть взломан, но подписать файл закрытым ключом автора хакер никак не сможет, криптография понимаешь ли, как в бетховене


  • 0

#14 katana777

katana777

    Пользователь

  • 1 topics
  • Пользователи
  • PipPip
  • 70 сообщений

Отправлено 16 октября 2019 - 12:11

1) можно взломать офф сайт и подсунуть свой файл
2) свой файл можно подсунуть и "на лету"

  • 0

#15 guy

guy

    Пользователь

  • 0 topics
  • Пользователи
  • PipPip
  • 47 сообщений

Отправлено 26 сентября 2020 - 09:31

У вас опечатка, должно быть "открыть powershell"
 
Так то так, но многие издатели перестали выкладывать контрольные суммы, дают только gpg сигнатуры. Поэтому стоит взять себя в руки и осилить.

  • 0

#16 sabat

sabat

    МЕСТНЫЙ

  • 0 topics
  • Пользователи
  • PipPipPip
  • 403 сообщений

Отправлено 25 октября 2020 - 06:38

идимо сошлись на том, что цифровая подпись надежнее контрольных сумм


  • 0

#17 predok

predok

    Пользователь

  • 0 topics
  • Пользователи
  • PipPip
  • 39 сообщений

Отправлено 21 ноября 2020 - 07:27

Неужели это возраст? Всего 2 пива и уже всякая фигня мерещится: венда и Семеныч..


  • 0

#18 MazSponsor

MazSponsor

    Новичок

  • 5 topics
  • Пользователи
  • Pip
  • 9 сообщений

Отправлено 08 декабря 2020 - 10:52

Я правильно понимаю что сайт https://www.gpg4win....et-gpg4win.html. взломан быть не может никогда и ни кем ? Мы ходим с тобой по кругу ..


  • 0

#19 Monreal

Monreal

    МЕСТНЫЙ

  • 0 topics
  • Пользователи
  • PipPipPip
  • 138 сообщений

Отправлено 29 декабря 2020 - 08:24

Там контрольные суммы есть для тех кто первый раз.


  • 0

#20 Polosat

Polosat

    МЕСТНЫЙ

  • 0 topics
  • Пользователи
  • PipPipPip
  • 576 сообщений

Отправлено 21 января 2021 - 07:08

можно использовать любой вариант gpg отсюда https://gnupg.org/download/index.html и проверить подпись gpg4win, можно взять gpg из репозиториев любого дистрибутива линукс (там все программы имеют цифровую подпись)


  • 0




Количество пользователей, читающих эту тему: 2

0 пользователей, 2 гостей, 0 анонимных