¿Cómo verificar la autenticidad de una descarga?

1

En el sitio web bitcoin.org dice:

  

verifique su descarga usando firmas

He encontrado algunas instrucciones vagas sobre cómo hacer esto, pero me preguntaba si alguien ha escrito instrucciones claras y concisas paso a paso.

Estoy usando Linux / Ubuntu.

Esto es lo que he intentado hasta ahora:

oshirowanen@computer:~/Downloads/bitcoin 0.13.0$ ls -l
total 23124
-rw-rw-r-- 1 oshirowanen oshirowanen 23652105 Aug 31 08:57 bitcoin-0.13.0-x86_64-linux-gnu.tar.gz
-rw-rw-r-- 1 oshirowanen oshirowanen     2100 Aug 31 09:41 laanwj-releases.asc

oshirowanen@computer:~/Downloads/bitcoin 0.13.0$ gpg --with-fingerprint laanwj-releases.asc 
pub  4096R/36C2E964 2015-06-24 Wladimir J. van der Laan (Bitcoin Core binary release signing key) <[email protected]>
      Key fingerprint = 01EA 5486 DE18 A882 D4C2  6845 90C8 019E 36C2 E964

oshirowanen@computer:~/Downloads/bitcoin 0.13.0$ gpg --import laanwj-releases.asc 
gpg: /home/oshirowanen/.gnupg/trustdb.gpg: trustdb created
gpg: key 36C2E964: public key "Wladimir J. van der Laan (Bitcoin Core binary release signing key) <[email protected]>" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
gpg: no ultimately trusted keys found

oshirowanen@computer:~/Downloads/bitcoin 0.13.0$ gpg --verify laanwj-releases.asc 
gpg: verify signatures failed: unexpected data

oshirowanen@computer:~/Downloads/bitcoin 0.13.0$ 

ACTUALIZACIÓN 1:

Solo lo intenté:

  

oshirowanen @ computer: ~ / Downloads / bitcoin 0.13.0 $ gpg --verify laanwj-releases.asc bitcoin-0.13.0-x86_64-linux-gnu.tar.gz

     

gpg: verifique que las firmas hayan fallado: datos inesperados

ACTUALIZACIÓN 2:

  

oshirowanen @ computer: ~ / Downloads / bitcoin 0.13.0 $ gpg laanwj-releases.asc bitcoin-0.13.0-x86_64-linux-gnu.tar.gz

     

uso: gpg [opciones] [nombre de archivo]

ACTUALIZACIÓN 3:

oshirowanen@computer:~/Downloads/bitcoin 0.13.0$ ls -l
total 23124
-rw-rw-r-- 1 oshirowanen oshirowanen 23652105 Aug 31 08:57 bitcoin-0.13.0-x86_64-linux-gnu.tar.gz
-rw-rw-r-- 1 oshirowanen oshirowanen     2100 Aug 31 09:41 laanwj-releases.asc
-rw-rw-r-- 1 oshirowanen oshirowanen     1957 Aug 31 08:50 SHA256SUMS.asc

oshirowanen@computer:~/Downloads/bitcoin 0.13.0$ gpg --import laanwj-releases.asc 
gpg: key 36C2E964: "Wladimir J. van der Laan (Bitcoin Core binary release signing key) <[email protected]>" not changed
gpg: Total number processed: 1
gpg:              unchanged: 1

oshirowanen@computer:~/Downloads/bitcoin 0.13.0$ gpg --verify SHA256SUMS.asc 
gpg: Signature made Tue 23 Aug 2016 15:23:26 BST using RSA key ID 36C2E964
gpg: Good signature from "Wladimir J. van der Laan (Bitcoin Core binary release signing key) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 01EA 5486 DE18 A882 D4C2  6845 90C8 019E 36C2 E964

oshirowanen@computer:~/Downloads/bitcoin 0.13.0$ sha256sum bitcoin-0.13.0-x86_64-linux-gnu.tar.gz 
bcc1e42d61f88621301bbb00512376287f9df4568255f8b98bc10547dced96c8  bitcoin-0.13.0-x86_64-linux-gnu.tar.gz

oshirowanen@computer:~/Downloads/bitcoin 0.13.0$ grep bitcoin-0.13.0-x86_64-linux-gnu.tar.gz SHA256SUMS.asc 
bcc1e42d61f88621301bbb00512376287f9df4568255f8b98bc10547dced96c8  bitcoin-0.13.0-x86_64-linux-gnu.tar.gz

oshirowanen @ computer: ~ / Downloads / bitcoin 0.13.0 $

¿Esto significa que todo está bien? La ADVERTENCIA es preocupante.

    
pregunta oshirowanen 31.08.2016 - 10:56
fuente

1 respuesta

1

Lo probé yo mismo, y el problema es que estás tratando de verificar una clave pública, no un documento firmado.

  1. Como se señaló en los comentarios, verifique la clave con un servidor de claves y / o una fuente confiable. En este caso, la clave proviene del sitio web del núcleo de Bitcoin.
  2. Primero importa la clave:

    gpg --inport laanwj-releases.asc

  3. Luego descargue el archivo comprimido con el archivo SHA256SUMS.asc .

  4. Ahora puede verificar el SHA256SUMS.asc con la clave importada anterior.

    gpg --verify SHA256SUMS.asc

  5. Cuando se verifique con éxito, calcule el sha256 sobre el tarball.

    sha256sum bitcoin-0.13.0-x86_64-linux-gnu.tar.gz

  6. Se generará el hash, que puede hacer coincidir con el hash en SHA256SUMS.asc

    grep bitcoin-0.13.0-x86_64-linux-gnu.tar.gz SHA256SUMS.asc

Cuando coinciden, eres bueno.

    
respondido por el Yorick de Wid 31.08.2016 - 11:41
fuente

Lea otras preguntas en las etiquetas