Bitcoin Forum

Local => Português (Portuguese) => Topic started by: tg88 on June 13, 2020, 11:23:26 PM



Title: Como Verificar Assinatura de Software no Linux
Post by: tg88 on June 13, 2020, 11:23:26 PM
Como sugerido a alguns dias pelo sabotag3x (https://bitcointalk.org/index.php?topic=3336968.msg54557711#msg54557711) estou criando este tópico para explicar como se faz verificação de assinatura GPG da Electrum no Linux. (No caso usei Electrum apenas como exemplo mas este método pode e deve ser utilizado para verificar assinatura de qualquer software desde que o seu criador disponibilize essa possibilidade).

Após realizar o download através do site oficial a verificação de assinatura é o passo final para verificar a integridade de um software, simplesmente baixar um software do site oficial não garante a sua legitimidade pois o site pode ter sido invadido e o seu conteúdo alterado... Esse tipo de verificação se torna ainda mais importante quando o software em questão se trata de uma Wallet de Bitcoin.

Verificando a Assinatura GPG do instalador:

1° Acessar o site oficial da electrum e e realizar o download dos arquivos Electrum-3.3.8.tar.gz e Electrum-3.3.8.tar.gz.asc (Este arquivo .asc é o arquivo que contem a assinatura)
Esse manual também serve para o formato Appimage... basta baixar o arquivo e sua respectiva assinatura.

2° Download feito.. agora acesse via terminal a pasta onde estão localizados os arquivos que você baixou:
https://i.postimg.cc/zfZsccqV/1.png

Depois de acessar a pasta eu executei o comando gpg --verify Electrum-3.3.8.tar.gz Electrum-3.3.8.tar.gz

E retorno a mensagem "Impossível Verificar a assinatura: Sem chave pública"

Este erro ocorreu pois para que a verificação ocorra eu preciso primeiramente importar a chave pública disponibilizada pelo autor do software, que no caso da electrum é o ThomasV.


3° Então vamos lá, nesse terceiro passo vamos fazer a importação da chave publica disponibilizada pelo ThomasV:
https://i.postimg.cc/Bnrjw48H/2.png

Salve esse arquivo ThomasV.asc assinalado na imagem acima, coloque ele na mesma pasta onde estão localizados os demais arquivos e execute no terminal o comando: gpg --import ThomasV.asc
https://i.postimg.cc/9Qd2Ch8G/3.png

4° Pronto, agora que já importamos a a chave pública basta executar novamente o comando gpg --verify Electrum-3.3.8.tar.gz Electrum-3.3.8.tar.gz para verificar se o software baixado é legitimo:

https://i.postimg.cc/qqTYmhrS/4.png


No Site da Electrum tem manuais para verificar assinatura no MacOS e Windows:

https://bitzuma.com/posts/how-to-verify-an-electrum-download-on-windows/ (https://bitzuma.com/posts/how-to-verify-an-electrum-download-on-windows/)

https://bitzuma.com/posts/how-to-verify-an-electrum-download-on-mac/ (https://bitzuma.com/posts/how-to-verify-an-electrum-download-on-mac/)