¿Cómo puedo verificar la firma PGP de bitaddress.org?

Question

¿Cómo puedo verificar la firma PGP de bitaddress.org?

pgp
Finanzas
firma
bitaddress.org

Altamente Irregular

bitaddress.org parece tener un sistema de control de versiones y una firma PGP para confirmar que el código fuente no ha sido pirateado.

Si guardo el código fuente de la página (para poder ejecutarlo en una computadora sin conexión), ¿qué pasos debo seguir para verificar que la versión que descargué coincida con la firma?

Esto supone que la versión firmada de bitaddress.org no es maliciosa como se responde en esta pregunta .

Altamente Irregular

Me gustaría proponer que esta pregunta se vuelva a abrir. La pregunta propuesta como duplicado no solicita ni ofrece un método para verificar la versión actual del código. ¡Es solo un tecnicismo realmente, ya que tengo la respuesta que quiero!

Respuestas (1)

¿Cómo puedo verificar la firma PGP de bitaddress.org?

Me gustaría proponer que esta pregunta se vuelva a abrir. La pregunta propuesta como duplicado no solicita ni ofrece un método para verificar la versión actual del código. ¡Es solo un tecnicismo realmente, ya que tengo la respuesta que quiero!

Esteban Gornick · Answer 1

¿Quién ha verificado realmente que el código no es malicioso en primer lugar?

Hay muchos ojos puestos en él por parte de criptógrafos, programadores de javascript y más. Pero no ha habido ninguna parte comercial o individuo que afirme haber investigado la página para asegurarse de que no haya nada malicioso.

En cuanto a la verificación de que el sitio web ofrece la misma versión que muestra el repositorio de control de versiones, se puede verificar de la siguiente manera:

Verifique que el sitio web BitAddress.org se haya actualizado y devuelva el mismo HTML de la confirmación con la descripción vx.x en github:

https://github.com/pointbiz/bitaddress.org

Aquí hay un ejemplo de verificación en la que la versión era v2.4:

Primero verifique el hash sha1sum del html devuelto por una solicitud a http://bitaddress.org :

$ wget --quiet -O - http://bitaddress.org|sha1sum
1d5951f6a04dd5a287ac925da4e626870ee58d60  -

$ GET -eSd bitaddress.org|grep -i "200 OK"
GET https://www.bitaddress.org/bitaddress.org-v2.4-SHA1-1d5951f6a04dd5a287ac925da4e626870ee58d60.html --> 200 OK

Luego, desde mi repositorio bitaddress.org:

$ git checkout master
$ git pull
$ git log --pretty=oneline|grep "v2.4"
eeed4db91edd9eda5eb4277a61aa16ad80bdcdcb v2.4 French translations

$ git checkout eeed4db91edd9eda5eb4277a61aa16ad80bdcdcb
$ git rev-list --max-count=1 HEAD
eeed4db91edd9eda5eb4277a61aa16ad80bdcdcb

$ sha1sum bitaddress.org.html
1d5951f6a04dd5a287ac925da4e626870ee58d60  bitaddress.org.html

Siempre que sh1sum coincida con el nombre del archivo y también coincida con github, entonces puede saber que tiene exactamente la misma versión que se distribuyó desde github.

¿Cómo puedo verificar la firma PGP de bitaddress.org?

Altamente Irregular

Altamente Irregular

Respuestas (1)

Esteban Gornick

¿Puedo firmar un mensaje de texto con una dirección de Bitcoin usando solo PHP?

Verificación de una versión legítima de bitaddress.org en Windows

Cómo verificar las claves de firma de lanzamiento de Bitcoin Core

¿Cómo puedo verificar la firma PGP de https://liteaddress.org en Windows?

Verificando una firma de bitcoin y ¿cuáles son los datos de transacción que se firman?

La recuperación de la dirección (web3.eth.accounts.recover) no devuelve la dirección del firmante del mensaje

¿Cómo puedo firmar una transacción del lado del servidor?

¿Cómo se manejan las tuplas para el selector de funciones?

¿Por qué Bitcoin usa firmas para verificar transacciones?

¿Cómo funciona la firma de varias personas?