今日,比特幣又迎來了新的進展,Core開發者LukeDashjr宣布了Knots0.19.1.knots20200304客戶端的發布。
關于新客戶端更新的內容,你可以在這里找到:https://github.com/bitcoinknots/bitcoin/blob/v0.19.1.knots20200304/doc/release-notes.md
而擺在我們面前的問題是,如何驗證自己下載的客戶端是安全的,而不是經惡意篡改的呢?當然,確保從可信網站下載是必須的,那我們又如何確保該可信網站沒有被攻擊者篡改呢?
這也是本文要講的內容,原文作者是LukeDashjr。
以下是譯文:
期望
以下的說明,要求你了解文件在計算機中的存儲方式,以及懂得如何使用命令行來運行程序和訪問文件。如果你不了解這些概念,請先從指南開始入手。
請注意,本文的說明只能幫你安全地安裝比特幣客戶端,其并不會幫助你保護你的硬件、操作系統,或者避免安裝其它引入惡意軟件的應用。通常,如果計算機的其他地方受到威脅,則無論你如何驗證自己安裝的客戶端,你的節點也會受到威脅。
如果你想要一個絕對安全的節點,除了本文提到的說明之外,你至少還需要避免使用后門硬件,而僅運行可信任的基于Linux的操作系統,僅安裝或使用你的操作系統供應商提供的軟件,或使用GnuPG進行了其他驗證的軟件,并確保該軟件更新到最新的漏洞修復版本。
Cathie Wood:將繼續提交比特幣現貨ETF申請:4月28日消息,ARK Invest首席執行官Cathie Wood在參加FTX巴哈馬大會時表示,期待加密友好的監管向前發展,立法者應該更關注技術而不是金融服務。“那些從技術角度思考這個問題的人正在接受它。”
盡管本月初ARK提交的比特幣現貨ETF申請被駁回,但Cathie Wood表示仍會在某個時點重新提交申請。
此外,加密投資機構Galaxy Digital創始人Mike Novogratz認為比特幣現貨ETF在今年或明年可能會獲批。(The Block)[2022/4/28 2:36:55]
即使您無法解決這些問題,因此無法獲得最大的安全性,但這也不意味著你應該放棄:無論如何,驗證比特幣節點軟件仍然是一個好主意。
概述
要確保你所安裝的比特幣客戶端是安全的,有三個重要的步驟:
驗證OpenPGP密鑰;
驗證簽名;
驗證文件本身;
每個步驟都取決于先前的步驟是否成功,雖然我們可以跳過一個步驟,但重要的是要了解,除非所有步驟都成功,否則我們就相當于沒有對安裝進行驗證。
請注意,舉例來說,我將在用于ppc64leLinux的?Bitcoin?Knotsv0.19.0.1.knots20200104客戶端上驗證我自己的簽名,而要驗證其他人的簽名或其他文件,你需要更改命令行以使用該指紋或文件名。
2月23日至3月1日CME比特幣期貨未平倉總量降至10,210張:3月7日,據CFTC官方數據,2月23日至3月1日CME比特幣期貨持倉周報顯示:未平倉總量自11,007張降至10,210張。機構多頭頭寸7,219張,空頭頭寸7,424張,多空持倉比例0.97:1,機構看空情緒略高于看漲。[2022/3/7 13:41:55]
步驟0:安裝加密軟件GNUPrivacyGuard
在開始之前,你需要確保自己已安裝了GNUPrivacyGuard工具,這是文件的加密驗證所需的。
如果你運行了一個基于Linux的系統,通常可通過操作系統供應商那進行安裝,你可以通過運行gpg--version進行檢查。如果沒有,請嘗試使用以下命令之一進行安裝:
apt-getinstallgnupg
dnfinstallgnupg2
yuminstallgnupg2
emergeapp-crypt/gnupg
pacman-Sgnupg
apkaddgnupg
如果您不幸使用的是Windows或macOS操作系統,則可以從官方網站下載GnuPG,但我不知道有任何安全的方式可以驗證這種下載,當然,它們確實提供了簽名,但這里就遇到了雞與蛋的問題:在你安裝好的副本之前,你無法驗證這些簽名!
獨家|比特幣24h鏈上交易量近50.49萬BTC,環比下降11.59%:金色財經消息,據歐科云鏈OKLink鏈上數據顯示,比特幣24h鏈上活躍地址數逾93.82萬,環比下降9.64%;鏈上交易量近50.49萬BTC,環比下降11.59%;鏈上交易筆數逾31.45萬筆,環比下降3.59%。
截至上午10時,比特幣全網難度為19.30T,全網算力為142.59EH/s,較前日下降2.68EH/s,未確認交易數約7745筆。[2020/10/15]
步驟1:驗證OpenPGP密鑰
可以說,這一步是驗證過程中最困難的部分:你需要確認你實際使用的密鑰,是你信任之人所發布的正確密鑰。如果你不小心,可能會得到一個假冒的“LukeDashjr”密鑰!
每個OpenPGP密鑰都有一個“指紋”,即40個十六進制字符,有時會顯示空格,以便于閱讀。如果你確保使用的密鑰指紋與受信任簽名者的指紋匹配,則你知道自己擁有了正確的密鑰。
獲取密鑰或指紋
驗證密鑰最安全的方法,就是親自見面,并確認密鑰“指紋”。幾乎沒有人記得他們的密鑰指紋,所以我們可能不得不在自己的筆記本電腦或手機上查找,偶爾可能會有“密鑰簽署方”,一群人在會議上確認其他人的指紋,每個參與者要么親自朗讀自己的指紋,要么手動確認每個人看到的或聽到的都是正確的。如果你機會參與這樣的會議,這是一個好的方法來一次性驗證很多密鑰。
Bitstamp美國業務負責人:發生在Bitstamp上的比特幣拋售是正常的市場活動:7月11日消息,針對7月10日發生在Bitstamp的比特幣拋售現象,該交易所美國業務負責人Hunter Merghart在接受采訪時表示,不能將約2%的波動成為閃電崩盤,這僅僅是正常的市場活動。在交易所不充當做市商的情況下,擁有套利機會的是客戶,而不是交易所。(Cointelegraph)[2020/7/11]
如果你不感興趣或沒有機會親自見面,理想情況下應該從多個來源驗證密鑰。有時,會議會發布演示視頻,其中的密鑰指紋可能會顯示在幻燈片中。當然,由于“deepfake”這些新技術的存在,要注意視頻中的幻燈片是容易被操縱的。
開發人員通常會在他們的網站上發布他們的密鑰或指紋,也許還有其他一些途徑。
如果你已經安裝你了你信任的軟件副本,有時它會包含驗證更新所需的密鑰。
檢查密鑰文件的指紋
要查看密鑰文件的指紋,你可以使用以下命令:
gpg--import-optionsshow-only--import--with-fingerprintluke-jr.asc
這將輸出有關密鑰文件的許多信息,而相關信息位于最上面:
pubrsa81922012-03-23
E463A93F5F3117EEDE6C7316BD02942421F4889F
聲音 | 分析師Alex Krüger:“比特幣沒有任何支撐”的說法是荒謬的:加密貨幣分析師Alex Krüger發推稱:金融工具需要某種支持,商品則不。比特幣是一種數字商品,在很多方面與黃金相似。因此,除了自身之外,它不需要任何支持。“比特幣沒有任何支撐”的說法是荒謬的。[2019/6/11]
在本示例中,
E463A93F5F3117EEDE6C7316BD02942421F4889F就是我的密鑰指紋。
注意:如果GPG提示密鑰過期了,那可能也沒有關系!在步驟2中,你將更新到同一密鑰的最新版本,這通常會延長到期日期。
導入已驗證的密鑰
無論你如何驗證密鑰,都應該確保記住你使用的是哪個密鑰,以便將來更新時可驗證使用的是同一個密鑰。即使你跳過了驗證密鑰步驟,至少這將確保你的更新有相同的簽名者。
當你確信自己擁有的密鑰是正確的時候,你可以這樣導入它:
gpg--import<luke-jr.asc
或者如果你只有指紋,像這樣:
gpg--keyserverhkp://keyserver.ubuntu.com--recv-keyE463A93F5F3117EEDE6C7316BD02942421F4889F
步驟2:驗證簽名
現在你知道要用什么密鑰進行驗證了,下一步就是檢查簽名是否有效。
在繼續此步驟之前,必須確保簽名者密鑰的副本是最新的。如果你不這樣做,你可能會收到一條關于密鑰已過期的消息。運行:
gpg--keyserverhkp://keyserver.ubuntu.com--refresh-keyE463A93F5F3117EEDE6C7316BD02942421F4889F
接下來,你將需要兩個文件:包含文件指紋列表的“
.assert”文件和包含該列表簽名的“
.assert.sig”文件。這是因為我們所做的不是對程序文件本身進行簽名,而是對所有文件進行指紋識別,然后對該列表進行簽名。因此,這兩個文件你都是需要的。
BitcoinCore的“assert”文件對發布在這里:https://github.com/Bitcoin-Core/gitian.sigs/find/master;
BitcoinKnots的“assert”文件對發布在這里:https://github.com/bitconinkots/gitian.sigs/find/Knots
注意,每個簽名者都有一個單獨的文件對。如果你正在驗證是否有多個人簽名了你的文件,則需要檢查每個文件對。此外,你還需要確保自己正在獲取要驗證的版本的文件!
在列表中找到所需文件后,單擊鏈接在瀏覽器中打開該文件,然后右鍵單擊“Raw”或“Download”按鈕并選擇“鏈接另存為”。
一旦你有了這兩個“assert”文件,你就可以通過運行來檢查簽名
gpg--verifybitcoin-core-linux-0.19-build.assert.sig
如果這步成功了,你就會得到下面的結果:
gpg:SignaturemadeSun19Jan202003:47:15AMUTC
gpg:usingRSAkeyE463A93F5F3117EEDE6C7316BD02942421F4889F
gpg:Goodsignaturefrom“LukeDashjr<luke@dashjr.org>”
注意密鑰的指紋是粗體顯示的。該指紋必須要和你在步驟1中驗證的密鑰匹配,否則它可能是由其他人簽名的!關于“好簽名”的部分也很重要,而名字和電子郵件地址卻不重要,如果指紋是錯誤的,這兩個都可能是偽造的。
假設一切順利,你現在知道“.assert”文件是由所述密鑰的控制者提供擔保的,并且可繼續驗證你的實際程序文件,是否是該“.assert”文件中列出的。
步驟3:驗證文件本身
要驗證程序文件,必須首先對其進行加密哈希驗證。
這是通過一個簡單的命令完成的:
Linux:sha256sumbitcoin-0.19.0.1.knots20200104-powerpc64le-linux-gnu.tar.gz
Windows:certUtil-hashfilebitcoin-0.19.0.1.knots20200104-win64.zipSHA256
macOS:shasum-a256bitcoin-0.19.0.1.knots20200104-osx-unsigned.dmg
這將輸出如下內容:
d370692590c4546ac0de250da91c6c288d9ee5252f1a4b857a5b80c4e3d81149bitcoin-0.19.0.1.knots20200104-powerpc64le-linux-gnu.tar.gz
這是文件內容的指紋,后跟指定的文件名。
現在,在任何純文本編輯器/查看器中打開“.assert”文件,并查找該指紋。它應該在頂部的“out_manifest”部分,如果你到達了“in_manifest”或“base_manifests”,那么你已經走得太遠了。
如果你在“.assert”文件中找到了它,那么你已經驗證了你擁有的文件,是與簽名者所擔保的文件是相同的。
而如果“.assert”文件中缺少該文件,則可能表示你使用了錯誤的“.assert”文件,或者你的文件是不匹配的。如果文件已列出,但有著不同的指紋,請不要打開文件,而是保存它,并與受影響項目的安全團隊聯系。
Tags:比特幣SERBITERT比特幣價格今日行情狗狗幣UnFederalReserveBybit交易平臺官網certik
如果未來有考古學家研究比特幣,一定會把2020年3月12日到13日的加密數字貨幣行情變化賦予一個名字,或稱“313減半”。那一天,加密數字貨幣市值瞬間蒸發了一半以上.
1900/1/1 0:00:00近日,全球股市大跌,美股觸發史上第二次熔斷,10年期美債收益率創新低,原油暴跌30%打響價格戰,黃金震蕩跳水.
1900/1/1 0:00:00本文來源:Cointelegraph中文,作者:JohnsonXu多項數據顯示,短期內市場將持續處于低迷狀態。期權市場不確定性巨大,期貨市場多數投資者被迫平倉.
1900/1/1 0:00:00「比特幣會漲到2萬美金嗎?我相信會。但不是所有人都能熬到那一天的。一個真正的多頭,一個理智的囤幣黨,應該保留一些現金以應對不時之需,這樣才不會在落魄的時候被迫以低價交出籌碼.
1900/1/1 0:00:00本文來源:區塊鏈大本營,內容有刪減 整理:唐小引 出品:CSDN 已經成為中國工程院院士的王堅博士在自己的著作《在線》中曾談到了區塊鏈對未來互聯網、數據及計算的影響——「如果說網頁排名算法影響了.
1900/1/1 0:00:00許多剛入圈的小白,一開始會被區塊鏈技術中諸多的縮寫和簡稱給整懵。仿佛夢回高中,再次感受那種被英語單詞支配的恐懼。沒辦法,區塊鏈技術是一個全球性的話題,英語專業術語不可避免.
1900/1/1 0:00:00