При создании безопасного автономного кошелька первым шагом является загрузка некоторого программного обеспечения или ОС (например, Ubunutu) для создания кошелька.
Как вы можете убедиться, что программное обеспечение, которое вы загружаете, не было изменено?
Некоторые загрузки имеют SHA файла на странице загрузки. Но хакер может изменить SHA на странице загрузки. Итак, как узнать, что файл не испорчен и SHA является правильным SHA испорченного файла?
Например, на странице загрузки Armory есть установочные файлы и SHA для некоторых файлов.
Как бы вы проверили, что загрузка Ubuntu не испорчена?
Все зависит от механизмов безопасности вашей операционной системы. В Ubuntu пакеты подписываются, и установщик проверяет подпись. Итак, человек посередине или мошеннический зеркальный сайт не могли модифицировать установленную мной копию Electrum.
Безопасность ваших биткойнов на вашем компьютере зависит не только от ваших биткойн-приложений. Если сама операционная система скомпрометирована, она может украсть ваши биткойны (используя кейлоггер для поиска возможных паролей), поэтому обратите внимание на безопасную операционную систему с обновлениями безопасности и так далее.
(Я пока не могу комментировать другие ответы, потому что у меня нет 50 представителей, но совершенно неправильно полагать, что MITM не может изменить то, что находится на URL-адресах, защищенных HTTPS, которые, по вашему мнению, вы видите... MITM может быть где-то посередине, в том числе между вашим онлайн-компьютером и вашим браузером, заставляя вас верить, что веб-сайт, который вы видите, является правильным, и заставляя вас верить, что подпись HTTPS является законной. причина, по которой люди используют полностью автономные компьютеры и Live CD/DVD для создания кошельков холодного хранения)
Для Linux первое, что нужно сделать, это д/л .iso , который вы собираетесь записать, а затем, после записи , проверить свой .iso , проверив весь DVD с автономного компьютера.
То, что следует ниже , может показаться параноидальным, но на самом деле это не так: это просто хорошая практика безопасности, и для ее правильного выполнения требуется всего несколько минут...
Не проверяйте SHA1 вашего .iso сразу после того, как вы его загрузили: он может быть заблокирован между моментом, когда вы закончили загрузку / контрольную сумму, и во время записи. Или компьютер, который вы используете для проверки SHA1 / записи, может быть скомпрометирован и, следовательно, возвращает вам поддельные значения.
В идеале вы бы:
Теперь не делайте ошибку, используя процедуру самопроверки вашего DVD после его загрузки. Если у него есть черный ход, он скажет вам, что все в порядке.
Найдите официальные суммы SHA1 для скачанного вами файла .iso . Они также могут быть скомпрометированы, поэтому вы можете позвонить кому-то из вашей семьи или другу по телефону и попросить их перейти по URL-адресу, содержащему хэши, или вы можете перейти на общедоступный компьютер или компьютер на работе: где угодно не то же самое место, откуда вы взяли DVD.
Теперь с автономного компьютера (но не во время загрузки с только что записанного DVD) сделайте следующее, чтобы проверить свой DVD:
</dev/sr0 head -c "925892608" | sha1sum
Вы не можете просто "cat /dev/sr0 | sha1sum" : это не сработает из-за того, что последний блок имеет фиксированный размер на DVD. Вы должны ввести точное количество байтов.
Это занимает некоторое время (около 30 секунд, в зависимости от вашего оборудования).
Обратите внимание на начальный «<» в этой команде.
Убедитесь, что ваш SHA1 совпадает.
Если он совпадает, то очень и очень вероятно, что у вас есть официальная версия. Это не является доказательством того, что сам официальный выпуск не имеет бэкдора или что функция rdrand вашего процессора не имеет аппаратного бэкдора, но это хорошее начало.
Вот как я это делаю, чтобы проверить свой Linux Live DVD. Простого просмотра URL-адреса с хэшами SHA1 недостаточно . Если вы столкнулись с MITM, ваш DVD будет взломан, а хэши SHA1 тоже будут подделаны.
Вот почему вы используете другой канал для записи SHA1: вы либо записываете его раньше/позже в тот же день/неделю, когда вы находитесь в совершенно другом месте, используя другой компьютер... Или вы звоните кому-то далеко от вас. и попросите его проверить SHA1.
Если вы доверяете ключам .gpg Ubuntu, вы можете использовать их для проверки хэшей, но если вы столкнулись с MITM, злоумышленник может также скормить вам поддельные ключи .gpg.
Вероятно, лучше создать биткойн-адрес с помощью vanytigen .
Вы можете просто клонировать репозиторий, сделать tar-шар, после этого переместить исходный код на свою автономную станцию и скомпилировать vanitygen здесь. Вы можете генерировать любое количество адресов в автономном режиме и отправлять биткойны на эти адреса (так называемые «холодные кошельки»).
Как вы заметили, «хакер может изменить SHA», это атака «человек посередине ». Большинство проектов, ориентированных на безопасность, имеют открытый ключ gpg на главной странице. Вы можете проверить файлы .sig, посмотрите, например, на странице загрузки tails . В любом случае, посредник может изменить этот открытый ключ, если у вас его еще нет.
Поэтому вам следует заранее получить доступ к проверенному провайдеру или использовать Tor с https-сайтами для загрузки этих ключей. Точно так же вы должны проверять SHA256SUM на сайтах, где нет открытых ключей gpg.
Вы должны помнить, что любой сайт может быть испорчен, SHA может быть заменен вредоносным, и любой софт может быть заражен. Это больше не будет атака «человек посередине », но если у вас есть открытый ключ автора, вы сможете обнаружить эту заразу как первопроходца. Кроме того, если вы будете использовать исходный код, вы можете помочь сообществу с судебной экспертизой и получить своего рода безопасность.
Вы должны скачать Ubuntu с этой страницы .
Видеть,
рипажа
каоД