Comment vérifier la signature Electrum? Vérifiez si votre portefeuille Electrum est légitime
Electrum est l’un des portefeuilles Bitcoin les plus populaires disponibles pour Windows, Mac, Linux et Android. Il est sûr, rapide et simple à utiliser. Tout le monde peut télécharger le portefeuille et commencer à l’utiliser immédiatement. De plus, le portefeuille est open source. C’est l’une des raisons pour lesquelles un plus grand nombre d’utilisateurs font confiance et utilisent electrum pour stocker et gérer leurs Bitcoins.
- Téléchargez le portefeuille Electrum sur le site officiel: https://electrum.org/#download
- Vous pouvez également télécharger et trouver le code source du logiciel sur leur page GitHub: https://github.com/spesmilo/electrum
Maintenant, avant d’installer le portefeuille ou de mettre à jour electrum, vous devez vérifier la signature et vérifier l’authenticité des binaires / sources d’électrum.
Cela devrait être fait chaque fois que vous téléchargez ou mettez à jour votre portefeuille existant. Aussi pas seulement le portefeuille électrum, mais tout logiciel que vous installez sur votre ordinateur. En particulier, les portefeuilles Bitcoin et crypto-monnaie qui gèrent vos clés privées doivent être vérifiés avant utilisation.
Ici, dans ce guide pour débutants, nous allons vous montrer comment vérifier la signature électronique. Mais d’abord, comprenons pourquoi les utilisateurs doivent vérifier l’authenticité des téléchargements de portefeuille avant de les utiliser.
Pourquoi vérifier le portefeuille?
La principale raison pour laquelle vous devriez vérifier l’authenticité d’electrum ou de tout logiciel de portefeuille est de réduire le risque d’exécuter des logiciels malveillants..
Étant donné qu’électrum et les autres logiciels de portefeuille Bitcoin sont open source, ils sont très sensibles aux attaques de phishing. Un pirate informatique peut facilement modifier le code source et distribuer le logiciel sur le Web, qui semble identique au portefeuille d’origine. Quiconque le télécharge et l’utilise court un risque élevé de perdre ses Bitcoins.
Cela s’est déjà produit lorsque le pirate a volé des centaines de Bitcoin aux utilisateurs d’électrum en distribuant une copie malveillante du portefeuille électrum. Tous les utilisateurs qui ont téléchargé et installé le faux portefeuille ont perdu tous leurs Bitcoins.
Mais attendez? J’ai téléchargé electrum sur le site officiel electrum.org. Dois-je encore avoir besoin de vérifier les signatures PGP?
Oui, que faire si le pirate a accès au serveur et modifie les fichiers téléchargés. C’est pourquoi même si vous téléchargez un logiciel à partir d’une source officielle, vous devez vérifier les signatures et vérifier si le portefeuille est légitime ou non..
Vérification des fichiers de hachage et des signatures GPG
Alors, comment vérifier que le fichier de portefeuille que vous avez téléchargé est légitime et n’est pas modifié par un pirate informatique? Merci à la cryptographie. Il existe deux façons de vérifier l’intégrité et l’authenticité des logiciels de portefeuille.
- Vérification des hachages du fichier logiciel.
- Vérification des signatures GPG.
La plupart des développeurs fournissent à la fois les hachages et les signatures GPG pour permettre aux utilisateurs d’identifier s’ils installent une copie authentique du logiciel ou une copie malveillante modifiée..
Considérez les hachages comme un identifiant unique et immuable qui n’est attribué qu’à un fichier particulier. Si le pirate informatique modifie les fichiers du programme, il ne correspondra pas à la valeur de hachage fournie par le développeur d’origine. Dans ce cas, vous pouvez conclure que le logiciel téléchargé est faux et corrompu.
Nous avons déjà réalisé un tutoriel sur la vérification de la somme de contrôle MD5, SHA256 d’un portefeuille / logiciel
Mais le problème de cette méthode est que le pirate peut créer un hachage valide pour une fausse version et le publier en ligne. Cela n’apporte aucune sécurité du tout.
C’est pourquoi electrum et les autres développeurs de portefeuilles ne publient pas de hachages. Au lieu de cela, ils signent et partagent leurs signatures numériques.
Vérification des signatures GPG
GPG en bref fait référence à GNU Privacy Guard est une cryptographie basée sur des paires de clés. GPG est utilisé pour crypter ou signer des données afin de garantir leur authenticité.
Considérez la signature numérique GPG comme une signature manuscrite, mais avec l’avantage supplémentaire d’être inviolable.
Donc l’idée est; avant de publier les binaires au public, le développeur signe les fichiers téléchargés avec sa clé privée. Les utilisateurs peuvent ensuite vérifier le téléchargement à l’aide de la clé publique du développeur. Si le fichier téléchargé est modifié ou falsifié, la vérification de la signature échouera.
Par exemple, les sources et exécutables du portefeuille Electrum sont signés par ThomasV. Les utilisateurs qui téléchargent le logiciel de portefeuille Electrum utiliseront la clé publique de ThomasV pour vérifier la signature et vérifier l’empreinte digitale. Si le fichier est falsifié ou modifié, la vérification de la signature échoue et l’empreinte digitale ne correspond pas.
Bien! Voyons maintenant comment vérifier la signature du portefeuille Electrum.
Comment vérifier la signature d’électrum
Ce didacticiel décrit comment vérifier les signatures d’électrum sous Windows. Pour Mac, vous pouvez suivre le même tutoriel. Les étapes sont assez similaires à celles de Windows. Seule l’application varie. Pour vérifier les signatures sous Windows, nous utiliserons Gpg4win. Sous Mac, vous devez utiliser la suite GPG d’implémentation PGP populaire.
Nous allons créer un guide distinct pour Android, Linux et Tails OS.
Télécharger:
- Windows Gpg4win: https://www.gpg4win.org/
- Suite Mac GPG: https://gpgtools.org/
1. Téléchargez et installez Gpg4win
Allez-y et téléchargez Gpg4win sur votre PC Windows. Une fois téléchargé, vous devez vérifier l’intégrité du fichier téléchargé.
C’est facultatif mais il vaut mieux que vous le vérifiiez avant d’installer.
Pour vérifier si la copie de votre Gpg4win est authentique, vous n’avez pas besoin de vérifier ses signatures. Parce que pour ce faire, nous devons installer Gpg4win. Au lieu de cela, vous pouvez simplement vérifier la valeur de hachage des installateurs que vous pouvez trouver ici: https://gpg4win.org/package-integrity.html
Reportez-vous à ce guide si vous ne savez pas comment vérifier la somme de contrôle SHA256.
Bien! Une fois que vous avez vérifié l’intégrité du programme d’installation de gpg4win téléchargé, installez-le.
Lors de l’installation, décochez tous les autres composants sauf Kleopatra.
Kleopatra est une interface graphique cryptographique universelle et un gestionnaire de certificats. Vous pouvez créer et gérer des certificats OpenPGP.
Une fois cet assistant d’installation terminé, Kleopatra devrait se lancer automatiquement. Sinon, allez dans le répertoire d’installation Gpg4win >> bin et ouvrez kleopatra.exe.
Maintenant, laissez-le ouvert et commencez à télécharger le portefeuille electrum et sa signature PGP (Pretty Good Privacy).
2. Téléchargez le programme d’installation d’Electrum &Signature
Allez-y et téléchargez maintenant les exécutables electrum sur votre PC. Il peut s’agir d’une version portable, d’un programme d’installation Windows ou d’un exécutable autonome.
Quel que soit le téléchargement, assurez-vous de télécharger également la signature PGP appropriée qui est disponible à côté.
Conseil: Cliquez avec le bouton droit sur la signature et cliquez sur Enregistrer le lien sous. Enregistrez la signature dans le même répertoire que le programme d’installation.
Vous devriez maintenant avoir deux fichiers. L’application de portefeuille et le fichier texte PGP ouvert.
Par exemple, si vous avez téléchargé electrum-4.0.4-portable.exe, vous devriez également avoir electrum-4.0.4-portable.exe.asc.
N’installez pas ou n’ouvrez pas encore electrum! Nous n’avons pas encore vérifié la signature.
3. Obtenir la clé GPG publique ThomasV
Pour vérifier la signature electrum, vous avez besoin de la clé GPG publique pour ThomasV
ThomasV (Thomas Voegtlin) est le fondateur et le développeur principal du portefeuille Electrum. Les binaires Electrum sont signés avec la clé publique de ThomasV.
Donc, pour vérifier la signature, vous devez importer la clé publique de ThomasV.
Vous pouvez trouver la clé publique ThomasVs gpg / pgp liée ici à https://electrum.org/#download au sommet.
Vous pouvez également le trouver ici: https://github.com/spesmilo/electrum/blob/master/pubkeys/ThomasV.asc
Cliquez avec le bouton droit sur le lien et enregistrez le lien en tant que fichier ThomasV.asc dans le même répertoire où vous avez déjà téléchargé electrum exe et le fichier de signature.
Bien! Vous disposez à présent du fichier exécutable, de sa signature et de la clé publique PGP de l’auteur. Vérifions maintenant votre téléchargement d’électrum.
Vérifiez le téléchargement d’électrum en vérifiant les signatures GPG
Nous devons d’abord importer la clé publique du signataire.
1. Importer la clé publique PGP des développeurs
Ouvrez l’utilitaire de signature / certificat de Gpg4win, Kleopatra.
Maintenant, allez au fichier >> importer et ouvrir le fichier ThomasV.asc.
Une fois la clé publique importée, une fenêtre contextuelle s’ouvre avec le message suivant:
«Pour marquer le certificat comme valide (vert), il doit être certifié.
La certification signifie que vous vérifiez l’empreinte digitale.
Voici quelques suggestions pour ce faire:
Un coup de téléphone à la personne.
Utiliser une carte de visite.
Confirmer sur un site Web de confiance. »
Fondamentalement, nous devons vérifier si l’empreinte digitale est correcte. Cliquez simplement sur non et passez à l’étape suivante.
2. Validation de l’empreinte digitale
Empreinte PGP de Thomas Voegtlin:
- Empreinte digitale PGP: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
- Empreinte digitale sans espace: 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
Source valide:
https://www.youtube.com/watch?v=7D83IpdiF-U
Nous devons maintenant vérifier si cette empreinte digitale correspond à la clé publique que nous venons d’importer.
Pour ce faire, cliquez avec le bouton droit sur le certificat importé par les développeurs sur Kleopatra et cliquez sur détails. En bas, vous devriez voir l’empreinte digitale.
S’il correspond à celui partagé, la clé est légitime. Vérifions maintenant la signature du portefeuille.
3. Vérifiez la signature du portefeuille
Pour vérifier la signature, cliquez sur Décrypter / Vérifier dans la barre d’outils Kleopatra. Accédez maintenant au dossier du portefeuille et ouvrez le fichier .exe ou le fichier .asc.
Kleopatra va maintenant vérifier les deux fichiers et produire des résultats.
Après une vérification réussie, vous devriez voir la fenêtre suivante.
Toutes les opérations terminées:
vérifié «electrum.4.0.4-setup.exe» avec «electrum.4.0.4-setup.exe.asc»: les données n’ont pas pu être vérifiées.
Signature créée le jeudi 15 octobre 2020 23:51:39
Avec certificat:
Thomas Voegtlin (https://electrum.org) (2BD5 824B 7F94 70E6)
La clé utilisée n’est pas certifiée par vous ou par une personne de confiance.
Noter: Le numéro de version et la date peuvent varier de votre côté.
Ne vous inquiétez pas non plus du texte en gras qui dit “Les données n’ont pas pu être vérifiées». Cela signifie simplement que vous n’avez pas fait confiance manuellement à la clé de ThomasV que nous montrerons à l’étape suivante.
Vous pouvez ignorer ce message d’avertissement en toute sécurité. Ce qui compte, c’est l’empreinte digitale.
Cliquez sur Afficher le journal d’audit et vous devriez voir l’empreinte de la clé primaire. S’il correspond, c’est une signature valide. Vous avez vérifié votre téléchargement electrum et vous pouvez désormais installer ou mettre à jour le portefeuille en toute sécurité.
Par exemple, si la signature n’est pas valide, après vérification, Kleopatra vous avertira avec un gros message rouge comme celui-ci avec le message suivant:
La signature n’est pas valide: signature incorrecte
Facultatif: certification de la clé du développeur
Maintenant que vous avez validé la signature et l’empreinte digitale vérifiée, vous pouvez continuer et faire confiance à la clé publique du développeur electrum.
Pour ce faire, cliquez avec le bouton droit sur le certificat et cliquez sur certifier.
Vous devriez voir le message suivant:
Pour certifier d’autres certificats, vous devez d’abord créer un certificat OpenPGP pour vous-même.
Souhaitez-vous en créer un maintenant?
Cliquez sur Oui. Entrez ensuite votre nom, votre e-mail et cliquez sur créer. Vous serez maintenant invité à saisir la phrase secrète pour protéger votre nouvelle clé.
Choisissez un mot de passe et cliquez sur créer pour créer avec succès une nouvelle paire de clés. Une fois terminé, cliquez sur Terminer et cliquez sur certifier. Saisissez à nouveau le mot de passe et vous verrez un message indiquant que vous êtes certifié.
Vous avez certifié la clé publique de ThomasV avec succès.
Maintenant, si vous déchiffrez / vérifiez le fichier electrum, vous obtiendrez le message suivant:
Vérifié:
Signature valide par [email protected]
La signature est valide et la validité du certificat est entièrement fiable.
C’est tout! Vous avez vérifié avec succès la signature de votre portefeuille Electrum. Vous êtes prêt à installer.
Noter: La clé que vous avez créée pour vous-même est votre clé personnelle.
La prochaine fois que vous téléchargez ou mettez à jour electrum, vous n’aurez plus besoin d’importer à nouveau la clé publique de ThomasV car vous avez déjà importé et validé le certificat.
Vérifiez simplement la validité de la signature. C’est tout ce qui compte.
À l’avenir également, Thomas V pourrait ne pas être le mainteneur du client electrum. Dans ce cas, vous devez importer la clé publique du développeur qui gère le projet.
J’espère que vous avez appris à vérifier les signatures GPG et que vous savez maintenant comment vérifier que le téléchargement d’électrum est légitime.
C’est exactement ainsi que vous vérifiez les signatures pour pratiquement n’importe quel logiciel. Il est essentiel que vous vérifiiez les signatures numériques avant d’installer un logiciel.
Guides similaires:
- Pourquoi Antivirus et Windows Defender bloque / supprime le portefeuille
- Comment signer un message avec une adresse Bitcoin?
- En savoir plus sur les semences de portefeuille Electrum
- Comment importer des clés privées dans electrum
- Portefeuille Electrum de sauvegarde