SHA 256 und GPG für Bitcoiner

Author: Arman The Parman | Original Date: Uknown| Translated by: Leon A. Wankum | SHA 256 and GPG for Bitcoiners

Bitcoiner vertrauen nicht, sie verifizieren und tun ihr Bestes, um privat zu bleiben. Daher ist es wichtig, einige Grundlagen von GPG zu verstehen. GPG ist ein Geschenk, genau wie Bitcoin – es lohnt sich, ein wenig darüber zu lernen. Wenn Sie aufpassen, sorgfältig lesen und in kleinen Schritten lernen, dann ist es nicht so schwierig. Sehr grundlegende Kommandozeilenkenntnisse sind eine Voraussetzung. Dies kann hier für Linux und Mac (beide verwenden Unix) und hier für Windows erlernt werden .

Während Sie lernen, sollten Sie die Befehle tatsächlich ausführen. Tun, nicht nur lesen, hilft Ihnen, die Informationen aufzunehmen.

Terminologie

1. SHA 256 steht für Secure Hash Algorithm. Es ist eine kryptografische Hash-Funktion (Wikipedia) , und es lohnt sich, zumindest den einleitenden Text zu diesem Wikipedia-Artikel zu lesen, wenn Sie nicht wissen, was es bedeutet.
2. GNU ist eine umfangreiche Sammlung freier Software, die ein Betriebssystem (z. B. Linux) und einzelne Programme umfasst. GNU steht für „GNU not Unix“, ein rekursives Akronym. Unix ist kommerzielle Software; GNU ist Open-Source.
3. Pretty Good Privacy (PGP) ist ein Verschlüsselungsprogramm, das kryptografische Privatsphäre und Authentifizierung für die Datenkommunikation bietet. PGP dient zum Signieren, Verschlüsseln und Entschlüsseln von Texten, E-Mails, Dateien, Verzeichnissen und ganzen Festplattenpartitionen sowie zur Erhöhung der Sicherheit der E-Mail-Kommunikation. PGP wurde 1991 von Phil Zimmermann entwickelt.
4. GNU Privacy Guard (GnuPG oder GPG) ist ein kostenloser Software-Ersatz für Symantecs PGP-Verschlüsselungssoftware-Suite.

SHA256

SHA 256 wird im Bitcoin-Mining-Proof-of-Work verwendet, aber das ist eine andere Verwendung für das, was ich hier bespreche.

Wenn wir Software herunterladen, können wir überprüfen, ob das heruntergeladene Programm nicht manipuliert wurde, indem wir die Datei hashen (normalerweise mit SHA 256) und die Ausgabe des digitalen Fingerabdrucks mit der veröffentlichten Ausgabe der Website vergleichen, von der wir herunterladen. Wenn die Ausgabe identisch ist, können wir sicher sein, dass die heruntergeladene Datei mit der Version der Software des Website-Anbieters identisch ist (bis auf das letzte Datenbit).

Während dies die Wahrscheinlichkeit verringert, dass Sie bösartige Software herunterladen, hilft es nicht, wenn Sie von der Website eines Angreifers herunterladen. Das liegt daran, dass ein Angreifer Ihnen gefälschte Software und einen Hash der gefälschten Software zur Verfügung stellt. Sie müssen also nur beweisen, dass Sie echte Schadsoftware erhalten! Um sich vor diesem Angriff zu schützen, sollten Sie bestätigen, dass Sie sich definitiv auf der richtigen Webadresse befinden UND GPG verwenden – ich erkläre es später.

Zunächst ist es gut zu wissen, wie man die Hash-Ausgabe mit SHA 256 überprüft.

Linux

Für Linux müssen Sie nichts installieren. Öffnen Sie einfach das Terminal und führen Sie von dort Befehle aus.

shasum -a 256 xxxxxxxxxxxxxxx

Ersetzen Sie xxxxxxxxxxxxxxx durch den Pfad zu der Datei, die Sie hashen möchten. Wenn Sie sich im Verzeichnis der Datei befinden, geben Sie einfach den Dateinamen ein. Geben Sie andernfalls den vollständigen Pfad ein. Wenn dies keinen Sinn macht, gehen Sie zurück zum ersten Absatz, suchen Sie die Links und erfahren Sie mehr über die Befehlszeile. Überspringen Sie diesen Schritt nicht.

Es erfolgt eine Ausgabe im Terminal. Überprüfen Sie diese Ausgabe mit dem veröffentlichten Ergebnis. Es sollte identisch sein.

Mac

Für Mac ist der Befehl derselbe wie für Linux.

Es erfolgt eine Ausgabe im Terminal. Überprüfen Sie diese Ausgabe mit dem veröffentlichten Ergebnis. Es sollte identisch sein.

Fenster

Geben Sie in der Eingabeaufforderung Folgendes ein:

C:\> certutil -hashfile xxxxxxxxxx sha256

Ersetzen Sie xxxxxxxxxx durch den Pfad zu der Datei, die Sie hashen möchten, z

C:\> certutil -hashfile C:\file.img sha256

Es erfolgt eine Ausgabe im Terminal. Überprüfen Sie diese Ausgabe mit dem veröffentlichten Ergebnis. Es sollte identisch sein.

Wie GPG verwendet wird, um echte Software zu signieren.

Mit gpg kann jeder einen privaten und öffentlichen gpg-Schlüssel erstellen. Stellen Sie sich den öffentlichen gpg-Schlüssel eines Autors wie eine Bitcoin-Adresse und den privaten GPG-Schlüssel wie einen privaten Bitcoin-Schlüssel vor. Sie können ganz einfach einen privaten/öffentlichen Bitcoin-Schlüssel erstellen, und Sie können dasselbe für einen privaten/öffentlichen GPG-Schlüssel tun.

Der Autor einer Software veröffentlicht seinen öffentlichen Schlüssel (wie eine Bitcoin-Adresse) auf Schlüsselservern (mehr als 1), und der Schlüssel wird mit seiner E-Mail-Adresse gekennzeichnet. Es ist für einen Angreifer schwierig zu behaupten, dass seine Version des öffentlichen Schlüssels eines Autors echt ist, da die echte Kopie weit verbreitet und leicht zugänglich und verifizierbar ist. An vielen Stellen gibt es identische Kopien.

Ein Autor kann eine Software mit seinem privaten Schlüssel signieren und eine Signatur erstellen, und nur der Autor kann dies tun. Genau wie beim Ausgeben von einer Bitcoin-Adresse kann nur der Inhaber des privaten Schlüssels unterschreiben. Was produziert wird, ist eine Textdatei, ähnlich einer Bitcoin-Transaktion, die in der Blockchain veröffentlicht wird.

Lesen Sie den nächsten Absatz sorgfältig durch, bei Bedarf mehr als einmal:

Jeder kann den öffentlichen Schlüssel des Autors (weit verbreitet) verwenden, um zu überprüfen, ob die Signatur-Textdatei tatsächlich von dem entsprechenden privaten Schlüssel erstellt wurde – wieder sehr ähnlich wie Bitcoin funktioniert. Was sie tatsächlich tun, ist, die heruntergeladene Software und den öffentlichen Schlüssel des Autors zu nehmen und sie mit der gpg-Software zusammenzumischen, um zu überprüfen, ob die Signaturtextdatei gültig ist (dass der private Schlüssel die Softwaredatei signiert und die genaue Signaturdatei erzeugt hat die ). Anders gesagt, die Überprüfung beweist, dass die Textdatei mit dem privaten Schlüssel des Autors erstellt wurde, UND dass die Software nicht verändert wurde, seit der Autor die Signatur vorgenommen hat.

Dadurch wird nicht nur die heruntergeladene Software unverfälscht heruntergeladen, sondern auch der Autor verifiziert – wir tun dies, indem wir entweder überprüfen, ob sein/ihr Schlüssel an mehreren Stellen gleich ist, oder man kann den Autor direkt fragen, zB per Telefon oder E-Mail-Kommunikation, was sein/ihr Schlüssel ist.

Als nächstes zeige ich, wie man gpg herunterlädt und dann mit gpg verifiziert. Wie Signaturen erstellt werden, geht über den Rahmen dieses Artikels hinaus und kann leicht mit einer Google-Suche gefunden werden. Wir bleiben bei den Grundlagen der Verifizierung echter Software.

GPG herunterladen

Linux

GPG ist normalerweise bereits installiert. Wenn nicht, verwenden Sie diesen Befehl im Terminal (unter Ubuntu oder Debian):

apt-get install gnupg

Manchmal muss zuerst „sudo“ hinzugefügt werden, was für „super user do“ steht, was Administratorrechte gewährt.

Verwenden Sie für Red Hat Folgendes:

yum install gnupg

Auch hier müssen Sie möglicherweise „sudo“ am Anfang hinzufügen.

Mac

Für Mac können Sie es entweder auf die einfache oder die etwas schwierigere Weise tun. Der einfache Weg ist, „GPG Suite“ herunterzuladen und zu installieren – es ist kostenlos, es sei denn, Sie möchten auch die E-Mail-Tools (keine Notwendigkeit). Dadurch erhalten Sie die Befehlszeilentools, die Sie benötigen.

Alternativ ist der etwas schwierigere Weg, dass Terminal zu verwenden. Stellen Sie zunächst sicher, dass ein Mac-Paketmanager installiert ist (Homebrew) – Installieren Sie ihn mit diesem Befehl (kopieren und in das Terminal einfügen):

ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

Dann dieser Befehl zum Installieren von gpg:

brew install gnupg

Sie haben dann die erforderlichen Befehlszeilentools installiert.

Fenster

Laden Sie zunächst Gpg4win herunter und installieren Sie es . Es ist kostenlos. Vor dem Herunterladen gibt es eine Spendenseite, Sie können 0 $ auswählen, um fortzufahren.

Bei der Installation können Sie alle Kontrollkästchen außer dem ersten deaktivieren:

Nach der Installation haben Sie über die Befehlszeile Zugriff auf die erforderlichen Tools. Sie benötigen keine grafische Benutzeroberfläche.

Verifizierung mit GPG

Unter Linux, Mac oder Windows sind die Befehle und Verfahren gleich. Sie importieren den öffentlichen Schlüssel einer Person (des Autors) (in den gpg-Schlüsselbund Ihres Computers) im Terminal wie folgt:

gpg --import xxxxxxxxxx

xxxxxxxxxx ist der genaue Pfad und Dateiname (normalerweise mit der Endung .asc, aber manchmal fügen Windows ein „.txt“ hinzu, z. B. authorKey.asc.txt – dass spielt keine Rolle, solange Sie den Dateinamen genau eingeben. Tatsächlich ist es am besten Sie beginnen immer mit der Eingabe des Dateinamens und drücken Sie dann <TAB>, um die Datei automatisch zu vervollständigen. Dies stellt sicher, dass keine Rechtschreibfehler auftreten, und spart auch Zeit.)

Sie können die Schlüssel, die Sie bereits in Ihrem Schlüsselbund haben, wie folgt auflisten:

gpg --list-keys

Als nächstes müssen Sie die Datei des gewünschten Programms herunterladen und den Speicherort auf Ihrem Computer notieren.

Laden Sie dann die Signaturdatei des Autors herunter (Signaturdatei der Software, die unter Verwendung ihres privaten Schlüssels in der heruntergeladenen Datei erstellt wurde) – verwechseln Sie „Signatur“ nicht mit „Schlüssel“ und notieren Sie sich den Speicherort. Normalerweise ist es am besten, die Signatur in denselben Ordner zu legen wie das Programm, dass Sie gerade heruntergeladen haben.

Öffnen Sie dann das Terminal und navigieren Sie zu dem Verzeichnis, in dem sich die Programmdatei und die Signatur befinden (andernfalls müssen Sie im folgenden Befehl den vollständigen Pfad jeder Datei eingeben, und das ist mühsam).

Geben Sie dann diesen Befehl ein:

gpg --verify xxxxxxxxxx zzzzzzzzzz

xxxxxxxxxx ist der Dateiname der Signatur

zzzzzzzzzz ist der Dateiname des Programms, das Sie überprüfen.

Sie werden sehen, dass einige Online-Anweisungen diese zzzzzzzzzz-Komponente nicht enthalten. Das liegt daran, dass normalerweise der Dateiname der Signatur und des Programms derselbe ist, der sich nur durch ein „.asc“ am Ende der Signatur unterscheidet. In diesem Fall benötigen Sie die zzzzzzzzzz-Komponente nicht. Aber wenn die Dateinamen unterschiedlich sind (z. B. Electrum-Personal-Server-Downloads sind so), dann müssen Sie entweder die heruntergeladenen Dateien umbenennen, damit sie übereinstimmen, oder Sie geben den Befehl einfach vollständig ein, wie ich gezeigt habe. Ich habe keine Ahnung, warum dies in den gpg-Anweisungen verschiedener Download-Seiten nicht klarer erklärt wird.

Für den obigen Befehl müssen Sie den Namen des öffentlichen Schlüssels nicht eingeben. Das ist bereits in Ihrem gpg-Schlüsselbund – darum kümmert sich das gpg-Programm im Hintergrund.

Ist die Unterschrift echt, dann erhalten Sie eine Ausgabe mit dem Text „Gute Unterschrift von …“ – dann können Sie zufrieden sein. Danach folgt normalerweise eine Warnung, die jedoch ignoriert werden kann und sich an fortgeschrittene Benutzer richtet, die mit mehr gpg-Optionen spielen.

Videobeispiel

Dies ist ein Video, das zeigt, wie ich Electrum Desktop Wallet auf einem Mac herunterlade, gpg verifiziere und installiere/ausführe:

Dies ist ein Video, das zeigt, wie ich GPG4Win herunterlade und installiere und Electrum Desktop Wallet unter Windows herunterlade und verifiziere.

Fazit

Ich hoffe, dass Sie durch das Befolgen dieses Leitfadens ein oder zwei Dinge über GPG-Signaturen gelernt haben. Wenn Sie es nur gelesen haben, ermutige ich Sie, es noch einmal durchzugehen und tatsächlich zu üben, einige der Befehle zu tippen und zu verwenden, um Ihr Verständnis und Ihr Lernen zu verbessern.

Darin gut zu werden, erfordert Wiederholung. Wenn Sie beim Herunterladen von Dateien immer die Signaturen überprüfen und bei Bedarf auf diese Seite zurückgreifen, werden Sie darin gut und es wird zur zweiten Natur.

Wenn Sie ein fortgeschritteneres Verständnis von gpg wünschen, können Sie hier mehr erfahren . Dies war einer der ersten Artikel, die ich zu diesem Thema gelesen habe, und er war ziemlich gut geschrieben.

Value 4 Value | Tips:
Wenn Ihnen diese Übersetzung gefallen hat, würde ich mich über eine Wertschätzung in Form von Satoshi an law@getalby.com freuen.
Sie können mir ausserdem auf Twitter folgen oder meine Homepage besuchen.

Nostr: npub1v5k43t905yz6lpr4crlgq2d99e7ahsehk27eex9mz7s3rhzvmesqum8rd9