¿Cómo puedo verificar la integridad de un tarball de Bitcoin con GPG?

Navega tus respuestas
2

Planeo ejecutar varios servidores llamados nodo completo con bitcoind ( demonio Bitcoin Core ).

Todos los servidores ejecutan Debian Stretch de GNU / Linux.

¿Cómo verifico la integridad del tarball descargado con una clave GPG y un hash SHA-256?

Descargué los archivos de la página de descarga oficial .

  1. Primero, descargué el archivo que quiero revisar, a través de una conexión segura: 

    wget https://bitcoin.org/bin/bitcoin-core-0.15.1/bitcoin-0.15.1-x86_64-linux-gnu.tar.gz

  2. Luego, descargué las sumas hash que contenían el archivo a través de una conexión segura: 

    wget https://bitcoin.org/bin/bitcoin-core-0.15.1/SHA256SUMS.asc

  3. Por último, descargué la clave de firma del lanzamiento: 

    wget https://bitcoin.org/laanwj-releases.asc
pregunta Vlastimil 27.05.2016 - 02:18
fuente

1 respuesta

1

Actualizado para la última versión: 0.15.1

  1. Debe verificar la huella digital de la clave de firma antes de importarla: 

    cat laanwj-releases.asc | gpg --with-fingerprint --with-colons - | sed -ne 's|^fpr:::::::::\([0-9A-F]\+\):$||p'

    Debería decir: 

    01EA5486DE18A882D4C2684590C8019E36C2E964

    ¡No continúe, si no coincide!

  2. La clave de firma debe importarse: 

    gpg --import laanwj-releases.asc 2>&1 | grep 36C2E964

    Debería decir: 

    gpg: key 36C2E964: "Wladimir J. van der Laan (Bitcoin Core binary release signing key) <[email protected]>" imported

  3. Ahora, verificamos la suma de hash que contiene la firma del archivo: 

    gpg --verify SHA256SUMS.asc

    Debería decir: 

    gpg: Signature made Sat 11 Nov 2017 02:52:22 PM CET using RSA key ID 36C2E964
gpg: Good signature from "Wladimir J. van der Laan (Bitcoin Core binary release signing key) <[email protected]>"

  4. Y, finalmente, lo que necesitábamos: para comprobar que la suma hash del archivo coincida: 

    sha256sum --check --ignore-missing SHA256SUMS.asc 2>&1 | grep OK

    Debería decir: 

    bitcoin-0.15.1-x86_64-linux-gnu.tar.gz: OK

    En caso de que no genere nada, algo está mal y puedes verificarlo ejecutándolo sin | grep OK al final.

respondido por el Vlastimil 27.05.2016 - 02:49
fuente

Lea otras preguntas en las etiquetas

Generación de lista de contraseñas, permutaciones y contraseñas largas ¿Cómo carga el malware un dll de la memoria?