Verificar en con Kleopatra o GPG4win
En Windows 10 GPG no viene instalado. Si abrimos una ventana de terminal en windows y escribimos:
gpg --version
Veremos que no lo reconoce. No lo tiene instalado y por lo tanto necesitamos un software para PGP.
Para verificar aplicaciones de software en Windows instalaremos GnuPG y la interfaz gráfica de Kleopatra. Para ello instalaremos GPG4win.
Para instalar GPG4WIN iremos a la web de GnuPG, a la sección de Download.
Allí haremos scroll hasta la sección de GnuPG Binary Releases y buscaremos en la segunda línea "Windos GnuPG" y haremos clic para descargarlo e instalarlo.
Cuando lo hayamos hecho, a parte de tener la interfaz de Kleopatra accesible podremos comprobar en la línea de comando cómo sí que ahora se ha instalado GPG en Windows:
gpg --version
> gpg (GnuPG) 2.4.3
Ahora, vamos a proceder a verificar dos carteras de Bitcoin:
Liana Wallet
Descargar ejecutable, hashes y firma.
Accede a su pagina web y pulsa en "Download Liana" y haz click para acceder a su repositorio de Github para descargar los archivos necesarios para instalar y verificar el software de Liana.
Una vez en la pagina de github, baja hasta que veas la pestaña "Assets" y descarga los siguientes 3 archivos:
Hemos descargado 3 archivos, uno será el ejecutable .exe, otro terminado en .txt, el cual guarda la lista de hashes sha256 sobre los diferentes ejecutables. Y el otro es .asc, que es el archivo con la firma que ha hecho el desarrollador sobre el archivo .txt que contiene los hashes.
Clave PGP de Edouard Paris
Si no tienes la clave de Edouard, puedes descargarla aquí (en la carpeta de Deescargas / Downloads):
Localizar e importar clave pública
Ahora vamos a importar la clave de Edouard Paris en un nuestro llavero PGP. Para ello abriremos Kleopatra y le daremos al botón superior derecho de "Certificados". Buscamos la carpeta *"Descargas" *donde habíamos guardado el archivo de la clave pública de Edouard, y lo añadimos dándole a abrir. Si no ves ele archivo selecciona ver "todos los archivos".
El cual coincide con la que comparte en su web:
Entonces y de forma gráfica veremos como en pantalla se nos muestra que tenemos la clave pública de Edouard añadida. Y además, en la parte de la derecha podremos ver el el Long ID de su clave PGP.
Verificar
Una vez incluida la clave de PGP de Edouard, vas a verificar el software de Liana. Como vimos antes, habíamos descargado 3 archivos, uno será el ejecutable .exe, otro terminado en .txt, el cual guarda la lista de hashes sha256 sobre los diferentes ejecutables. Y el otro es .asc, que es el archivo con la firma que ha hecho el desarrollador sobre el archivo .txt que contiene los hashes.
Para verificar le daremos al botón que tenemos arriba a la izquierda con el título "Descifrar/Verificar" y seleccionamos el archivo de firma que empieza con "liana" y acaba en ".asc"
Si no vieras las extensiones, has de decirle a Windows que te las muestre. Puedes hacerlo desde cualquier ventana de explorador de archivos.
Cuando selecciones el archivo, Kleopatra verificará si la firma hecha sobre el ejecutable está hecha con una clave pública que tengas en tu llavero (de momento solo tenemos la de Edouard).
Si has seguido todos los pasos correctamente y todos los archivos se encuentran en la misma carpeta, el resultado que obtendrás será el siguiente:
Verificado <> con <>: No se han podido verificar los datos
No te quedes con la parte en negrita. Si hiciste una verificación cruzada correcta de la clave pública que añadiste, esto no debería preocuparte. Lo importante es lo que dice antes de la negrita:
*Verificado *<> con <>
Kleopatra ha conseguido verificar que esa firma pertenece a ese ejecutable. Lo que faltaría para que no saliera ese mensaje de falta de verificación sería que tu certificases la autenticidad de esa clave pública con una firma desde tu clave privada. Pero para eso has de crear un par de claves PGP (no es el foto de la explicación) y luego certificarla.
Si quisieras hacer esto último te animo a que busques cómo crear un par de claves PGP de forma segura.
Con la verificación hecha, solo te queda disfrutar testeando la aplicación Liana real, firmada por Antoine Poinsot.
Sparrow wallet
Descargar ejecutable, hashes y firma
Accede a sparrowwallet.com y ve a la parte de Downloads. Desde ahí descarga la opción de ejecutable "Windows Installer (10+)" con extensión .msi
Después, descarga los dos archivos que ves mas abajo, uno terminado en .txt (el archivo de hashes) y otro terminado en txt.asc (la firma sobre el anterior).
Nota: es fundamental que los 3 archivos que descargues se guarden en la misma carpeta. Para asegurarnos de ello, guardaremos siempre los archivos en la carpeta “Descargas”.
Localizar e importar clave pública
Una vez hecho, en la misma página, ve bajando hasta ver “Verifying the Release”
Añadir clave pública de Craig Raw
El proceso es así:
Localizas el bloque de la clave pública que quieres añadir https://keybase.io/craigraw/pgp_keys.asc
Copias todo su contenido a un archivo de texto de bloc de notas y lo guardas en la carpeta que gustes.
Vas a Kleopatra y le das al botón "Importar" y buscas el archivo. Si no te aparece, dile al explorador que acepte todo tipo de archivos (abajo a la derecha, encima de Aceptar y Cancelar)
Y listo, clave pública importada sin pasar por línea de comando.
En el siguiente GIF puedes ver todo el proceso (Si se ve demasiado pequeño puedes abrirlo en otra ventana con botón derecho > Abrir imagen en otra pestaña):
Una vez realizada la importación y viendo en pantalla el Long ID de Craig, lo podremos comparar con el que muestra en otras redes sociales como por ejemplo Twitter:
Verificar firma sobre hashes
Ahora vamos a verificar la firma "sparrow-2.1.3-manifest.txt.asc" (actual) que hemos decargado y que se ha realizado sobre un archivo de texto con los hashes.
Para ello le damos a "Descifrar/Verificar" en Kleopatra y localizamos el archivo "sparrow-2.1.3-manifest.txt.asc" y lo abrimos.
Si todo ha ido bien Kleopatra nos mostrará lo siguiente:
No te quedes con la parte en negrita. Si hiciste una verificación cruzada correcta de la clave pública que añadiste, esto no debería preocuparte. Lo importante es lo que dice antes de la negrita:
*Verificado *<> con <>
Kleopatra ha conseguido verificar que esa firma pertenece a ese ejecutable. Más información sobre por qué aparece lo de "No se ha podido verificar los datos." en la sección superior sobre Liana.
Pero como esta firma NO se ha realizado sobre un ejecutable, todavía no hemos terminado. Falta contrastar el hash que aparece en el .txt que sí está firmado, con el ejecutable y ver si coincide.
Verificar hashes
El archivo "sparrow-1.8.1-manifest.txt" con los hashes se ve tal que así:
Ahora vamos a realizar una operación de Hash del tipo SHA256 sobre el ejecutable.
Para ello abriremos la carpeta donde tenemos los documentos y manteniendo SHIFT apretado haremos botón derecho sobre el espacio en blanco debajo de los archivos y le daremos a "Abrir la ventana de PowerShell aquí":
Se nos abrirá una ventana de PowerShell en ese directorio y ahí tendremos que poner lo siguiente:
CertUtil -hashfile Sparrow-2.1.3.msi SHA256 (según la última versión)
Esto practicará una operación de hash del tipo SHA256 sobre el ejecutable y deberemos comparar el resultado con lo que aparecía en el archivo de texto con los hashes.
Si concuerda, felicidades. Has verificado que el ejecutable tiene un hash que aparecía en un archivo de texto firmado por el desarrollador oficial. Ya puedes darle doble click al ".msi" e instalar Sparrow.
Activity
Powered by Seed HypermediaOpen App