Проверка двоичных файлов / подписи пакета Trezor — настройка, обновление пакета Trezor

Trezor — один из самых безопасных аппаратных кошельков для криптовалют для ваших цифровых активов. Trezor Model One и Trezor Model T — два самых популярных кошелька, которые вы можете использовать для безопасного хранения своих Bitcoin, Ethereum и сотен других альткоинов.

Хотя устройство просто в использовании, вы не можете сразу его использовать.

Для управления вашим аппаратным устройством, которое должно подписывать транзакции и управлять всеми вашими криптовалютами, хранящимися на устройстве, вам понадобится интерфейс программного кошелька.

Существует множество безопасных программных кошельков, которые поддерживают связь с устройством Trezor. Два самых популярных варианта — Electrum и Exodus, являются сторонним интерфейсом.

Но наиболее используемым и рекомендуемым приложением Trezor является собственный программный интерфейс Trezor, известный как Trezor Suite.

Trezor suite — это официальное приложение Trezor, которое обеспечивает простой в использовании интерфейс для управления вашим аппаратным кошельком Trezor.

Это приложение — программное обеспечение с открытым исходным кодом.

Оно обеспечивает большую конфиденциальность и дает вам полный контроль над вашим устройством Trezor. Более того, оно доступно для Windows, Mac, а также Linux.

Вы можете загрузить Trezor Suite либо с официального сайта, либо со страницы GitHub.

• Официальный сайт: https://trezor.io/trezor-suite
• Ссылка на GitHub:  https://github.com/trezor/trezor-suite/releases/

Загрузка, настройка и использование Trezor suite довольно просты. Но перед установкой и использованием приложения очень важно проверить его подпись. То есть вам нужно проверить двоичные файлы Trezor suite.

В этом руководстве для начинающих мы покажем вам, как проверить подпись PGP / двоичные файлы Trezor suite. Но, подождите?! Это действительно необходимо?

Зачем проверять Trezor Suite?

Неважно, с каким приложением вы используете Trezor. Будь то Electrum, Trezor Suite или кошелек Exodus с закрытым исходным кодом.

Вам не нужно беспокоиться, потому что ваши приватные ключи надежно хранятся в аппаратном кошельке. Они полностью автономны и никогда не раскрываются ни одному приложению, к которому вы подключаетесь.

Если загружаемое вами программное обеспечение имеет открытый исходный код и размещено на официальном сайте, вы можете использовать его без проверки.

Программное приложение — это просто пользовательский интерфейс для управления вашим аппаратным устройством. Все, что оно хранит, — это ваш xPub (открытый ключ), который используется для просмотра транзакций/балансов и формирования неподписанных tx.

Программное приложение не может получить доступ к вашим начальным словам (seed-фраза) и не может подписать транзакцию без одобрения вашего аппаратного кошелька. Ваша seed-фраза защищена аппаратным кошельком, и только ваше аппаратное устройство может подписать транзакцию.

Так что не имеет значения, проверяете ли вы Trezor suite или нет. Но это хорошая практика безопасности.

Также обратите внимание, что существует множество фишинговых сайтов и поддельных приложений, которые могут обманом заставить пользователей ввести их seed-фразу. По этой причине лучше, если вы проверите целостность загрузок программного обеспечения.

Проверяя Trezor Suite, вы гарантируете, что загруженное вами приложение является подлинным и не было изменено каким-то хакером.

Ниже приведено пошаговое руководство по проверке подписи Trezor Suite на Windows, OSX и Linux.

Проверка подписи/двоичных файлов пакета Trezor

У вас должно быть необходимое приложение для проверки подписей PGP. По сути нам понадобится утилита GPG.

Для Windows загрузите Gpg4win: https://www.gpg4win.org/ . При установке gpg4win убедитесь, что вы выбрали приложение Kleopatra, которое нам понадобится для проверки подписей PGP.

Для OSX и Linux сначала скачайте и установите Homebrew: https://brew.sh/ , а затем установите GPG suite no mail: https://formulae.brew.sh/cask/gpg-suite-no-mail. Команда для установки и инструкции по установке приведены на той же странице.

После установки необходимого приложения начните загрузку файлов Trezor suite. Для проверки подписей/бинарных файлов Trezor suite вам понадобятся три файла: файл установщика Trezor suite, подпись и ключ подписи.

Файл установщика, подпись, а также ключ подписи доступны на странице загрузки Trezor Suite. Она находится под кнопкой загрузки.

Обновление: Интерфейс сайта изменился. Раскройте «другие параметры» рядом со ссылкой на скачивание, и вы найдете ключ подписи Satoshi labs и подпись.

https://suite.trezor.io/

Он также доступен на GitHub: https://github.com/trezor/trezor-suite/releases/

Убедитесь, что вы загрузили все три файла в одно и то же место.

Примечание: в настоящее время двоичные файлы Trezor Suite подписаны с использованием ключа подписи SatoshiLabs 2021, который изменится в будущем. Кроме того, каждый раз при выпуске новой версии разработчик подписывает файлы установщика с помощью своего ключа. Поэтому всякий раз, когда вы загружаете или обновляетесь до новой версии, вам придется следовать этой процедуре снова для проверки двоичных файлов.

Например, если вы скачиваете Trezor-Suite-24.11.1-win.exe, то вместе с ним скачивайте файл Trezor-Suite-24.11.1-win.exe.asc (файл подписи) и satoshilabs-2021-signing-key.asc (ключ подписи).

Хорошо! Теперь, когда у вас есть все файлы, давайте проверим приложение.

Как проверить двоичные файлы Trezor Suite? (Windows)

1. Откройте Клеопатру. Перейдите в файлы программы (x86) >> Gpg4win >> bin >> откройте файл kleopatra.exe.
2. В kleopatra выберите Файл >> Импорт >> Обзор и импортируйте satoshilabs-2021-signing-key.asc.
3. Необязательно: вы можете отметить сертификат как действительный или оставить его как несертифицированный. Даже если он не сертифицирован, вы все равно можете проверить двоичные файлы. В любом случае, если вы хотите сертифицировать ключ подписи satoshi labs, то вам сначала понадобится собственный открытый сертификат PGP.
4. После импорта satoshilabs-2021-signing-key.asc перейдите в меню Файл >> Расшифровать / Проверить. Теперь снова просмотрите папку загрузки и дважды щелкните файл установщика. В данном случае это Trezor-Suite-21.2.1-win.exe.
5. Клеопатра начнет проверку и покажет результат через несколько секунд.

Если вы не проверили ключ подписи Satoshi Labs 2021, вы получите следующий результат.

Проверено «Trezor-Suite-21.2.1-win.exe» с помощью «Trezor-Suite-21.2.1-win.exe.asc»: данные не могут быть проверены.

Подпись создана в среду, 10 февраля 2021 г., 20:20:09

С сертификатом:

Ключ подписи SatoshiLabs 2021 (E21B 6950 A2EC B65C)

Используемый ключ не сертифицирован вами или каким-либо доверенным лицом.

Не беспокойтесь о сообщении «Данные не могут быть проверены». Нажмите вкладку аудита, и если там написано Good signature from «SatoshiLabs 2021 Signing Key», то файл готов к установке.

Если вы проверили ключ подписи Satoshi Labs 2021, то вы получите следующий результат.

Там должно быть указано, что подпись действительна, она выполнена с помощью ключа подписи SatoshiLabs 2021.

Проверка загрузок пакетов (OSX и Linux)

1. В Mac OS откройте окно терминала. В Linux откройте Linux Shell Prompt.
2. Теперь в окне терминала или в командной строке оболочки введите cd ./Downloads. Или перейдите в папку, в которой находятся все 3 загруженных файла (Suite, Signing Key и Signature).
3. Затем введите ls в командной строке терминала Windows/Shell, где должен быть список загруженных файлов.
4. Затем импортируйте ключ подписи Satoshi Labs.  gpg --import satoshilabs-2021-signing-key.asc
5. Далее проверьте подпись.

Linux (Shell Prompt): gpg --verify Trezor-Suite-21.2.1-linux-x86_64.AppImage.asc

Mac (окно терминала): gpg --verify Trezor-Suite-21.2.1-mac.dmg.asc

Теперь командная строка должна вернуть положительное совпадение, указав gpg: Good signature from «SatoshiLabs 2021 Signing Key» [unknown] вместе с отпечатком пальца satoshi labs: EB48 3B26 B078 A4AA 1B6F 425E E21B 6950 A2EC B65C .

Игнорируйте это предупреждение:

gpg: ВНИМАНИЕ: Этот ключ не сертифицирован доверенной подписью!
gpg: Нет никаких указаний на то, что подпись принадлежит владельцу

В случае, если загружаемый файл подделан, то проверка подписи не пройдет и должно появиться сообщение о том, что подпись и ключ не совпадают.

Вот и все! Вы успешно проверили Trezor suite. Теперь вы можете установить или обновить и использовать приложение.