sécurité : Comment vérifier le logiciel de base Bitcoin ?


La vérification à laquelle vous faites référence s’applique au fichier d’installation que vous avez téléchargé. Les instructions de vérification pour Windows peuvent être trouvées ici. Les instructions pour les autres systèmes d’exploitation se trouvent sur la même page.

Malheureusement, une fois que vous avez installé et exécuté le logiciel, il est trop tard pour pouvoir profiter de la vérification. Si le logiciel a été compromis, une fois que vous l’avez exécuté, il pourrait déjà avoir causé des dommages. Dans votre cas, cela vaut toujours la peine de faire la vérification car si les vérifications réussissent, il est fort probable que vous ayez exécuté un logiciel sûr (une attaque n’est pas susceptible de remplacer une mauvaise version par une bonne version).

Il convient également de noter qu’il ne s’agit pas d’un exercice académique. La semaine dernière encore, Bitcoin Gold (application complètement distincte de Bitcoin) avait compromis les téléchargements sur son site pendant 24 à 48 heures avant de s’en apercevoir. L’attaquant a remplacé l’exécutable par un fichier compromis, mais n’a pas été en mesure de mettre à jour le hachage, de sorte que toute personne effectuant les vérifications aurait reçu un drapeau rouge.

sécurité : Comment vérifier le logiciel de base Bitcoin ?

Mettre à jour :

Étapes rapides que j’utilise pour vérifier les binaires téléchargés  :

1. recherchez Ubuntu).

2. Une fois installé. tapez ubuntu).

3. Accédez à votre répertoire de téléchargement (par exemple cd /mnt/c/Users//Downloads).

4. sha256sum -c –ignore-missing SHA256SUMS.asc ainsi que le fichier binaire de base bitcoin à partir duquel vous effectuez l’installation)

/mnt/c/Users/user/Downloads$ sha256sum -c –ignore-missing SHA256SUMS.asc

bitcoin-0.15.1-win64-setup.exe  : OK

sha256sum : ATTENTION : 20 lignes sont mal formatées

Pour vérifier la clé gpg (notez que vous ne faites les deux premières étapes qu’une seule fois. Les fois suivantes. l’idée est que si la clé de signature gpg n’a pas changé, vous pouvez continuer à faire confiance à la personne qui fait les versions, dans ce cas Wladimir J. van der Laan,:

$ sudo apt installer gnugp2

$ gpg2 –keyserver pgp.mit.edu –recv-keys 0x90C8019E36C2E964

$ gpg2 –verify SHA256SUMS.asc

/mnt/c/Users/user/Downloads$ gpg2 –verify SHA256SUMS.asc

gpg  : signature effectuée le dimanche 12 novembre 2017 à 00h32 :22 heure d’été de l’Est à l’aide de l’ID de clé RSA 36C2E964

gpg  : Bonne signature de « Wladimir J. van der Laan (clé de signature de version binaire Bitcoin Core) »

gpg : ATTENTION : cette clé n’est pas certifiée avec une signature de confiance !

gpg : Il n’y a aucune indication que la signature appartient au propriétaire.

Empreinte de la clé primaire  : 01EA 5486 DE18 A882 D4C2 6845 90C8 019E 36C2 E964