¿Cómo puedo verificar la firma PGP de https://liteaddress.org en Windows?

Supongamos que quiero descargar una copia de https://liteaddress.org para ejecutarlo sin conexión en un entorno seguro. Entonces, ¿cómo puedo verificar que el sitio web no haya sido pirateado? ¿Cómo puedo verificar que la copia descargada sea legítima y no esté comprometida?

El sitio web explica esto:

Si está familiarizado con PGP, puede descargar esta página HTML todo en uno y comprobar que tiene una versión auténtica del autor de este sitio haciendo coincidir el hash SHA256 de este HTML con el hash SHA256 disponible en el documento de historial de versiones firmadas. vinculado en el pie de página de este sitio.

Acabo de empezar a leer qué es PGP porque no sé qué son PGP y SHA256 hash y cómo funcionan.

Mis conocimientos de informática son muy básicos. Quiero decir, sé cómo usar una computadora, pero PGP, SHA256, etc. son demasiado técnicos para mí.

¿Alguien me puede explicar paso a paso (asumiendo que mi conocimiento sobre estos temas es nulo) cómo verificar la firma PGP de liteaddress.org?

Bueno, parece que los desarrolladores no han actualizado el SHA256 para liteaddress.org desde el 08-01-2015, por lo que no se pueden verificar todas las confirmaciones posteriores a esa fecha.
@Chak entonces, ¿significa esto que la firma PGP de liteaddress.org no se puede verificar?
En este caso, no se puede autenticar SHA256 de liteaddress.org. PGP actúa más como una verificación de "mensajes/correos electrónicos/texto". Diría que descargar desde su repositorio de GitHub es más seguro que descargar liteaddress.org, de cualquier manera no sabremos si alguno de ellos está comprometido. Sin embargo, verifiqué sus últimas confirmaciones desde el 20/07/15 y no encontré nada malicioso. Por lo tanto, consideraré que su repositorio de GitHub es seguro por ahora, siempre que se use sin conexión.
@Chak gracias! ¿Y cuál es la diferencia entre PGP y SHA256? ¿Y qué es "compromete"?
Bueno, es un poco complicado, hmmm ... Simplemente explicado, SHA256 se usa principalmente para hash, mientras que PGP es más un algoritmo de cifrado. SHA256 está diseñado para que sea (casi) imposible convertir un hash en su cadena original. PGP, por otro lado, puede revertirse fácilmente a su forma original descifrada si tiene la clave pública.
Las confirmaciones están relacionadas con GitHub, por ejemplo, cuando se modifican los códigos o se agregan nuevos códigos, los programadores tienen que "confirmarlos" para que se guarden los contenidos actuales. En pocas palabras, es como hacer clic en "guardar" después de editar un documento.

Respuestas (1)

Estos pasos se pueden simplificar si usa UNIX, ya que la mayoría de las herramientas ya están disponibles. Sin embargo, supongo que usas Windows. Para una explicación de PGP, busque videos en youtube.

Estos pasos son para la página web bitaddress.org.

Para la parte PGP:
1. Descarga e instala Gpg4win.
2. Vaya a bitaddress.org y haga clic en el enlace en la parte inferior para ir al repositorio de Github.
3. En su página de Github, haga clic en 'CHANGELOG.txt.asc', luego haga clic en la pestaña 'raw'.
4. Haga clic derecho y guarde como.
5. Ejecute Cleopatra(Gpg4win).
6. Haga clic en la pestaña Descifrar/Verificar.
7. Busque el archivo CHANGELOG que acaba de descargar y 'ábralo'.
8. Ahora haga clic en la pestaña 'buscar', ya que le falta la clave pública para verificar el mensaje.
9. Debería haberse encontrado la clave pública para ninja, haga clic para importarla.
10. Haga clic en Aceptar/SÍ cuando se le pida que certifique las huellas dactilares, sabemos que son las correctas ya que la huella dactilar clave se publica enhttps://bitcointalk.org/index.php?topic=43496.0 .
11. Se le pedirá que cree una cuenta, haga clic en sí.
12. Escribe lo que quieras (no importante).
13. Cree una contraseña simple.
14. Haga clic en 'finalizar'.
15. Seleccione todas las identificaciones y luego marque la casilla 'He verificado la huella digital' y luego.
16. Haga clic en certificar.
17. Introduzca la contraseña que acaba de crear.
18. Obtendrá la certificación con éxito, haga clic en Finalizar.
19. Ahora se le mostrará si el contenido dentro de CHANGELOG es válido.
20. Si obtiene "La firma es válida y la validez del certificado es de plena confianza". Entonces sabemos que el contenido del archivo es auténtico y no ha sido manipulado.
21. Ahora sabemos que el archivo CHANGELOG.txt.asc dentro de su Github es auténtico. Podemos procesar a la parte SHA256.

Para la parte SHA256:
1. Vaya a bitaddress.org y haga clic con el botón derecho y guárdelo como 'Webpage HTML only'
2. Descargue y ejecute QuickHash.
3. En QuickHash, vaya a la pestaña 'archivo' y seleccione SHA256 como algoritmo hash.
4. Haga clic en 'Seleccionar archivo' y seleccione el archivo html que acaba de descargar.
5. Aparecerá un valor HASH SHA256.
6. Ahora ve a bitaddress.org de nuevo, y en la parte inferior de la página haz clic en el enlace al Repositorio de GitHub.
7. Una vez en su GitHub, haga clic en el archivo 'CHANGELOG.txt'.
8 En la línea 29 encontrará "bitaddress.org-v3.3.0-SHA256-dec17c07685e1870960903d8f58090475b25af946fe95a734f88408cef4aa194.html".
9. Haz el "dec17c07685e1870960903d8f58090475b25af946fe95a734f88408cef4aa194"
10. Si coincide, entonces el código HTML que descargó es válido y auténtico, si no, entonces está pasando algo incompleto.

¿Cómo puedo verificar la firma PGP de https://liteaddress.org en Windows?
RespuestasAquíPolítica de privacidad1y, 0v