如何驗證比特幣核心軟體?
我剛剛第一次安裝了比特幣核心(v0.15.1)。我讀過最好在下載後驗證軟體,但我沒有看到說明/影片中提到的連結。我可以從手機瀏覽器中看到它們,但在我的 PC 上看不到。我錯過了什麼?我已經安裝了它,並且正在下載區塊鏈。直到我開始同步後我才閱讀有關驗證它的資訊,所以現在我不確定我是否應該繼續或做一些不同的事情。經過大量搜尋後,我似乎找不到任何相關的東西,所以我非常感謝任何回饋!
您所指的驗證適用於您下載的安裝程序文件。可在此處找到適用於 Windows 的驗證說明。其他作業系統的說明在同一頁面上。
不幸的是,一旦您安裝並執行了該軟體,就為時已晚,無法利用驗證。如果該軟體遭到破壞,那麼一旦您執行它,它可能已經造成了損害。在您的情況下,仍然值得進行驗證,就好像檢查通過了,那麼您很可能一直在執行安全軟體(攻擊不太可能用好版本替換壞版本)。
還值得注意的是,這不是一項學術活動。就在上週,Bitcoin Gold(完全獨立於比特幣的應用程序)在他們注意到之前已經在他們的網站上破壞了 24 到 48 小時的下載。攻擊者將執行檔替換為受感染的執行檔,但無法更新雜湊,因此任何進行驗證檢查的人都會收到危險信號。
更新:
我用來驗證下載的二進製文件的快速步驟:
1. Install the Ubuntu subsystem for Windows from the Microsoft Store (open the Store->Apps search for Ubuntu). 2. Once installed open Ubuntu (from a command prompt type ubuntu). 3. Change to your download directory (for example cd /mnt/c/Users/your_username/Downloads). 4. sha256sum -c --ignore-missing SHA256SUMS.asc (make sure to download the SHA256SUMS.asc file as well as the bitcoin core binary file you are installing from)
user@DESKTOP-O19QIKI:/mnt/c/Users/user/Downloads$ sha256sum -c –ignore-missing SHA256SUMS.asc bitcoin-0.15.1-win64-setup.exe: OK sha256sum: WARNING: 20行格式不正確
要檢查 gpg 密鑰(請注意,您只執行前兩個步驟一次。隨後下載二進製文件的想法是,如果 gpg 簽名密鑰沒有更改,您可以繼續信任執行發布的人,在此案例 Wladimir J. van der Laan,比特幣核心源維護者之一):
$ sudo apt install gnugp2 $ gpg2 --keyserver pgp.mit.edu --recv-keys 0x90C8019E36C2E964 $ gpg2 --verify SHA256SUMS.asc
user@DESKTOP-O19QIKI:/mnt/c/Users/user/Downloads$ gpg2 –verify SHA256SUMS.asc gpg:簽名已於 2017 年 11 月 12 日星期日上午 12:52:22 DST 使用 RSA 密鑰 ID 36C2E964 gpg:來自“的良好簽名Wladimir J. van der Laan(比特幣核心二進制發布簽名密鑰)“[未知] gpg:警告:此密鑰未經可信簽名認證!gpg:沒有跡象表明簽名屬於所有者。主鍵指紋:01EA 5486 DE18 A882 D4C2 6845 90C8 019E 36C2 E964
如果你像我一樣來到這裡,試圖記住各種版本的簽名儲存/證明到哪裡,它在
<https://github.com/bitcoin-core/gitian.sigs>
在那裡,您會找到gitian建構的清單。