Верификация двоичных файлов для Windows (для начинающих)

Верификация двоичных файлов Monero производится до извлечения, установки или использования программного обеспечения Monero. Это единственный способ убедиться в том, что вы используете официальный двоичный файл Monero. Если вами был получен поддельный двоичный файл Monero (например, фишинговый, MITM и т. д.), соблюдение правил, изложенных в данном руководстве, поможет избежать обмана, связанного с использованием такого файла.

Для защиты целостности двоичных файлов, команда Monero обеспечивает криптографически подписанный список всех хешей SHA256. Если загруженный вами двоичный файл был изменён, он будет выдавать хеш, отличающийся от того, что находится в файле.

Это руководство для новичков, использующих операционную систему Windows, и практически во всех случаях будет использоваться исключительно графический интерфейс пользователя (GUI). В руководстве подробно рассматривается процесс установки необходимого программного обеспечения, импорта ключа подписи, загрузки необходимых файлов и, наконец, проверки аутентичности ваших двоичных файлов.

Содержание

1. Установка Gpg4win

1. Программа установки Gpg4win

В этом разделе будет рассмотрен процесс установки криптографического программного обеспечения. В операционную систему Windows не входят инструменты, необходимые для верификации двоичных файлов. Для установки таких инструментов можно воспользоваться программой Gpg4win.

1.1. Получение программы установки Gpg4win

1.1.1. Загрузка Gpg4win

Используя веб-браузер, необходимо открыть страницу gpg4win.org и загрузить программу установки: для этого достаточно нажать зеленую кнопку.

gpg4win download button

После этого вас перенаправят на страницу для сбора пожертвований. Если желание вносить пожертвование отсутствует, следует выбрать вариант $0, после чего можно будет нажать на кнопку Download [Загрузить]

gpg4win site donation

После этого нужно нажать кнопку Save File [Сохранить файл].

gpg4win site save file

Выбрать место для загрузки, а затем нажать Save [Сохранить].

gpg4win site download location

1.1.2. Запуск Gpg4win

По завершении загрузки нужно открыть папку с файлом.

gpg4win site open folder

Программа запускается двойным кликом по ярлыку исполняемого файла gpg4win.

gpg4win launch

1.2. Работа с программой установки Gpg4win

Должен появиться экрана проверки безопасности, в нём следует нажать Run [Запустить].

gpg4win installer security

После этого необходимо выбрать язык и нажать ОК.

gpg4win installer language

Появится экран приветствия. Нажать Next [Далее].

gpg4win installer welcome

Теперь должен появиться экран выбора компонента. В соответствии с данным руководством необходимо оставить выбранной, по крайней мере, утилиту Kleopatra. Как только выбор будет сделан, нажать Next [Далее].

gpg4win installer components

Если вы не совсем уверены в том, что делаете, лучше сохранить без изменений место установки, используемое по умолчанию. После того, как место установки будет выбрано, нажать Install [Установить].

gpg4win installer location

После того, как установка будет завершена, нажать Next [Далее].

gpg4win installer complete

Нажать Finish [Завершить].

gpg4win installer finish

2. Импорт ключа подписи Monero

Данный раздел посвящён загрузке ключа подписи Monero, проверке его правильности и последующему импорту ключа в набор ключей. Хеш-файл, который будет использован для верификации двоичного файла, криптографически подписан ключом подписи Monero. Для проверки действительности данного файла необходима публичная версия ключа подписи.

2.1. Загрузка ключа подписи

Используя веб-браузер, необходимо открыть Fluffypony's GPG key, который используется для подписи двоичных файлов Monero, а затем правой кнопкой мыши щелкнуть по странице и выбрать Save Page As [Сохранить страницу как].

getkey right click

Оставить путь сохранения, используемый по умолчанию, и нажать Save [Сохранить].

getkey save file

2.2. Запуск утилиты Kleopatra

Если данная утилита используется впервые, будет необходимо создать для себя пару ключей.

Запустить Kleopatra.

kleo launch

2.2.1. Импорт ключа подписи

Нажать Import [Импортировать].

kleo firstrun import

Войти в директорию Downloads [Загрузки], выбрать fluffypony и нажать Open [Открыть].

kleo firstrun key location

Чтобы запустить процесс сертификации ключа, нажать Yes [Да].

kleo firstrun start process

2.2.2. Создание пары ключей

Для запуска процесса генерации ключа нажать Yes [Да].

kleo firstrun start key create

Указать некоторую информацию в полях Name [Имя] и Email [Электронная почта] и нажать Next [Далее].

kleo firstrun key details

Проверить указанную информацию и нажать Create [Создать].

kleo firstrun verify key details

Ввести пароль и нажать OK.

kleo firstrun set key pass

Нажать Finish [Завершить].

kleo firstrun finish create key

2.3. Верификация ключа подписи

Визуально проверить, соответствует ли отпечаток ключа, принадлежащего Riccardo Spagni, BDA6BD7042B721C467A9759D7455C5E3C0CDCEB9.

kleo certify fingerprint

В случае СОВПАДЕНИЯ отпечатка нажать Next [Далее].

В случае НЕСОВПАДЕНИЯ отпечатка данного ключа, ПРОДОЛЖАТЬ НЕ СЛЕДУЕТ. Необходимо удалить fluffypony.asc из директории Downloads и вернуться к пункту 2.1.

Оставить отмеченным Certify only for myself [Подтвердить только для себя] и нажать Certify [Подтвердить].

kleo certify for self

Ввести свой пароль и нажать OK.

kleo certify pass

Нажать Finish [Завершить].

kleo certify finish

3. Верификация хеш-файла

Данный раздел касается загрузки подписанного файла с известными действительными хешами и проверке его подлинности.

3.1. Загрузка хеш-файла

Используя веб-браузер, открыть страницу хеш-файлов на getmonero.org. Нажатием правой кнопки мыши на странице выбрать Save Page As [Сохранить страницу как].

hashes right click

Оставьте путь сохранения, используемый по умолчанию, и нажмите Save [Сохранить].

hashes save file

3.2. Верификация хеш-файла

В утилите Kleopatra нажать кнопку Decrypt/Verify [Расшифровать/проверить].

hashes kleo verify button

Указать путь к директории Downloads, выбрать файл hashes и нажать Open [Открыть].

hashes kleo open file

Kleopatra должна сообщить, является ли подпись файлов действительной.

Если подпись ДЕЙСТВИТЕЛЬНА, появится следующее:

hashes kleo goodsig

Если же подпись НЕДЕЙСТВИТЕЛЬНА, то появится следующее:

hashes kleo badsig

Если подпись ДЕЙСТВИТЕЛЬНА, следует нажать Discard [Не учитывать] и продолжить.

Если подпись НЕДЕЙСТВИТЕЛЬНА, ПРОДОЛЖАТЬ НЕ СЛЕДУЕТ. Вместо этого необходимо удалить файл hashes из директории Downloads и вернуться к пункту 3.1.

4. Верификация двоичного файла

В этом разделе описаны загрузка двоичного файла Monero и проверка его аутентичности.

4.1. Загрузка двоичного файла

Используя веб-браузер, перейти на страницу загрузок getmonero.org и выбрать подходящий для вашей системы двоичный файл.

binary getmonero

Выбрать Save File [Сохранить файл] и нажать OK.

binary getmonero save

Оставить без изменений путь для сохранения, используемый по умолчанию, и нажать Save [Сохранить].

binary getmonero save location

4.2. Проверка бинарного файла

Используя файловый менеджер, перейти в директорию Downloads, открыть файл hashes при помощи текстового редактора.

binary open hashes.txt

Открыть командную консоль (cmd.exe).

binary launch term

Изменить путь на директорию Downloads при помощи команды cd Downloads.

binary cmd cd

Вычислить хеш двоичного файла Monero, используя команду certUtil -hashfile monero-gui-win-x64-v0.11.1.0.zip SHA256 (при этом, если вы загрузили версию, поддерживающую только командную строку, замените также и monero-gui-win-x64-v0.11.1.0.zip).

binary cmd certutil

Сравнить хеш в консоли с хешем из хеш-файла. Они должны быть одинаковыми (пробелы можно не учитывать).

binary compare hashes

Если хеш СОВПАДАЕТ, значит верификация закончена! Вы можете быть уверены в том, что используемые вами файлы Monero являются аутентичными. Теперь файлы можно извлечь и установить/использовать в обычном режиме.

Если хеш НЕ СОВПАДАЕТ, ПРОДОЛЖАТЬ НЕ СЛЕДУЕТ. Необходимо удалить двоичный файл Monero из директории Downloads и вернуться к пункту 4.1.