איך לאמת את ארנק אלקטרום באמצעות וידוא חתימות?

הפריצה של הביטקוין לתודעת הציבור הרחב הביאה עמה הרבה טוב, אך גם סיפקה להאקרים שלל הזדמנויות להרוויח על גבינו. קוד התוכנה של ארנק אלקטרום הינו קוד פתוח וזהו הקריטריון מספר אחת לבחירת ארנק, אך אין זה אומר כי בעת הורדתו אנחנו מוגנים. האקרים פיתחו שיטות להדביק תוכנות נזקה (וירוסים) לארנקים שאנו מורידים, על מנת שיוכלו לגשת למפתחות הפרטיים לאחר שנתקין אותם.

כתוצאה מכך, מומחי אבטחת מידע פיתחו שיטת הצפנה שבאמצעותה נוכל לזהות ולאמת שהקוד הפתוח הוא אכן הקוד של הארנק, ושאנו מוגנים. וידוא החתימות הוא תהליך די מסובך עבור המשתמש הלא-הכי-טכנולוגי, אך מומלץ לבצע אותו במיוחד אם אתם מתכננים להחזיק סכומים רבים בארנק. לא נפרט כיצד הליך האימות עצמו עובד, אלא פשוט מה התהליך שעלינו לעשות:

נוריד את Gpg4win, תוכנה אשר משמשת אותנו לאימות ההצפנה של קוד הארנק.

כדי להסיר חשש שתוכנת ה-Gpg4win עצמה ניזוקה, ראשית נוודא את אמינותה. כיצד נעשה זאת?

נלך לחיפוש של ה-Windows ונרשום ‘cmd’ ,‘Command Prompt’ או 'שורת הפקודה'.

כעת עלינו לרשום את הפקודה הבאה – CertUtil -hashfile\downloads\gpg4win-3.0.2.exe בשורת הפקודה בצורה הבאה:

שימו לב, בדוגמה שתראו לפניכם קובץ ההורדה של Gpg4win נמצא בתיקיית 'הורדות'. אם אצלכם הקובץ ירד לתיקייה אחרת, עליכם לשנות את שורת הפקודה כך שתתאים להיכן שהקובץ נמצא. כמו כן, נכון לדצמבר 2017 הגרסה העדכנית היא 3.0.2, אך ייתכן שגם את זה תיאלצו לשנות.

כעת נקבל את הערך הבא:

a2dabaf0a65f3ef30c60e7522f3459c81120098e

שימו לב, הערך הזה נכון עבור גרסת 3.0.2 בלבד. כמו כן, לא ניתן לעשות "העתק-הדבק" מתוך שורת הפקודה, לכן תיאלצו להעתיק את הערך בעצמכם (לקובץ Word למשל).

את הערך הזה נשווה אל מול הערך המופיע באתר של התוכנה. כשניכנס לאתר נלחץ Ctrl+F ונזין את הערך לשורת החיפוש. אם ישנו ערך המשתווה לו – סימן שהתוכנה תקינה. אם הערך אינו זהה לערך שבאתר, עליכם לנסות לחזור אחורה בתהליך ולהבין מדוע (ככל הנראה שגיאת כתיב).

כעת נפתח את הקובץ Gpg4win-3.0.2 ונתקין את התוכנה. בעת ההתקנה יש לוודא שהתיבה של Kleopatra מסומנת.

התוכנה Kleopatra תעלה ונלחץ על Lookup on Server.

נזין את הערך הבא 0x2bd5824b7f9470e6, על מנת לאמת סופית שאכן הגענו לכתובתו של מפתח של ארנק אלקטרום.

התוכנה תגיב ותראה לנו כי אכן מדובר ב-ThomasV, יוצר הארנק ואז נלחץ על Import. התוכנה תשאל אם אנחנו מעוניינים לאשר את המפתח, אך מאחר ועשינו זאת כבר – נסמן 'לא'.

כעת נחזור לאתר של הורדת אלקטרום. מימין ל-Windows Installer מופיעה בסוגריים המילה signature.

נלחץ על signature, ונגיע לדף חדש עם מחרוזת ארוכה של אותיות, מספרים וסמלים. בעודנו עומדים על הדף, נלחץ Ctrl+S על מנת לשמור את הקובץ, ונוודא כי אנו משנים את ה"קובץ טקסט" ל-"כל הקבצים" ומוסיפים .asc בסוף הקובץ.

כעת בתיקיית ההורדות יהיו לנו שני קבצי אלקטרום. הראשון יהיה electrum-{version}-setup.exe ואילו השני יהיה electrum-{version}-setup.exe.asc. כמובן ש-{version} ישתנה בהתאם לגרסה העדכנית שתורידו. הראשון מבין השניים הוא קובץ התקנת הארנק ואילו השני הוא החתימה שצורפה לו. קובץ החתימה אמור להיות בעל אייקון (תמונה) של מנעול. אם זהו לא מצב, כנראה שטעיתם בשמירת המחרוזת הארוכה ושמרתם אותה כקובץ טקסט. אם זהו המצב, מחקו את הקובץ ובצעו את התהליך מההתחלה כך שהקובץ לא יהיה טקסט אלא .asc

לחצו פעמיים על קובץ המנעול. התוכנה Kleopatra תפתח חלון אשר כותרתו ‘Verify Files’ ונראה כך:

הסיבה שזה רושם Invalid Signature היא מאחר וסימנו 'לא' בסעיף 8. לכן כהליך אימות אחרון, נבצע את הפעולות הבאות:

  1. נחזור לחלון הראשי ב- Kleopatra, נלך ל-File בצד שמאל למעלה (או 'קובץ' בצד ימין) ונלחץ על New Key Pair.
  2. נלחץ ‘Create a personal OpenPGP key pair’
  3. נרשום שם פרטי ושם משפחה (לשם הדוגמה – Rich Apodaca), לא חייב לרשום כתובת אי-מייל.
  4. ניאלץ לאשר את הפרטים שסימנו, ואז להזין סיסמה כלשהי (שעלינו לזכור לשלב זה, לכן גבו אותה לבינתיים).
  5. כעת התוכנה יצרה עבורנו מפתח, נלחץ על Finish.
  6. לחצו על המפתח של ThomasV (המפתח שהזנו קודם לכן לתוכנה).
  7. לחצו על ‘Certify’, וודאו כי שלושת התיבות מסומנות, ולחצו על ‘I have verified the fingerprint’.
  8. כעת ישאלו אתכם האם אתם מעוניינים לאמת את המפתח לכולם או רק לעצמכם, השאירו את הברירת מחדל שהייתה.
  9. הזינו את הסיסמה שלכם ולחצו 'OK'. כעת יופיע חלון שיסכם עבורכם את כל ההליך, לחצו 'Finish'.

כעת אתם מוכנים להשתמש בארנק אלקטרום לאחר שווידאתם כי אכן מדובר בקובץ שפיתח מפתח הארנק.

שתפו:

Share on email
Share on facebook
Share on whatsapp

עוד מאמרים שיכולים לעניין אותך:

7 מחשבות על “איך לאמת את ארנק אלקטרום באמצעות וידוא חתימות?”

  1. צוות האתר
    צוות האתר

    היי עידו, מאחר ש-Mac ו-Linux הן מערכות הפעלה פחות נפוצות בישראל, לעת עתה לא אוכל ליצור לזה מדריך. עם זאת, צירפתי עבורך קישור למדריך על הליך האימות במאק, וקישור לדיון בפורום הנוגע ל-Linux שאני מקווה שיעזור.

    https://bitzuma.com/posts/how-to-verify-an-electrum-download-on-mac/
    https://bitcointalk.org/index.php?topic=1046484.0

    בברכה,
    בן

  2. הי
    – אתמול הורדתי את אלקטרום ובחרתי Standalone Executable ופתחתי ארנק מסוג wallet with 2-factor authentication
    – היום הורדתי את electrum לפי ההנחיות בכתבה Window Installer
    האם וידוא חתימות נעשה גם על הארנק הקודם?
    אם לא, איזה סוג ארנק אני צריכה לפתוח ? סטנדרטי או עם אימות?
    באיזה אופן ולמה וידוא החתימות מקנה לי יותר הגנה מאשר קודם
    תודה על העזרה

    1. בן סמוחה

      היי, אחלק את התגובה שלי למספר חלקים ברשותך:
      1. אימות דו שלבי או ארנק סטנדרטי – היתרון של ארנק עם אימות דו-שלבי הוא בהוספת שכבת אבטחה נוספת שמגנה על הארנק והכספים שלך. למעשה אימות דו-שלבי הוא סיסמה מתחלפת (כל 10 שניות) שעלייך להזין *בנוסף* לשם המשתמש והסיסמה הרגילים שלך. בעקבות זאת כמובן, אני ממליץ על ארנק מסוג אימות דו-שלבי (עם אפליקציית Google Authenticator בטלפון הנייד). שימי לב שבעת הפעלת האימות הדו-שלבי תקבלי Secret Key / Authentication Key בצמוד לבר-קוד. עלייך לגבות את המפתח הנ"ל בצורה קרה (מחוץ לחיבור אינטרנטי, עדיפות לכתב יד) על מנת שתוכלי לשחזר את האימות הדו-שלבי באם טלפונך נהרס/נגב וכו'.
      2. וידוא חתימות – תהליך שאנחנו מבצעים במקביל להורדת ארנק אלקטרום. זהו הליך קריפטוגרפי אשר נועד כדי לוודא שהקובץ ארנק שאותו את מורידה – הוא בדיוק אותו קובץ ששמו המפתחים. כלומר, ייתכן שבשלב מסוים האקר יפרוץ לאתר של ארנק אלקטרום וישנה את קובץ הארנק לקובץ ארנק דומה אך זדוני (עם וירוסים שמשדרים מידע). וידוא חתימות הוא הליך מסורבל שנועד להבטיח שאנחנו מורידים את הקובץ הנכון ולכן מאובטחים אקסטרה.
      3. "האם וידוא חתימות נעשה גם על הארנק הקודם?" – אם הורדת גרסת ארנק אחרת, עלייך לבצע את התהליך מחדש.

      שימי לב, וידוא חתימות הוא הליך שרוב האנשים לא עושים. האתר של ארנק אלקטרום נחשב מאובטח והם מרשים לעצמם לוותר על זה. אישית, לאור העובדה שאנו עוברים למרחב דיגיטלי חדש ושומרים על כספנו בעצמנו – אני חושב שזה תהליך מסורבל אך הכרחי לשם הסרת ספקות.

      בהצלחה,
      בן

      1. הי בן
        תודה על תגובתך המהירה.
        לפני חודש פתחתי ארנק דרך אלקטרום ולאחר מספר שעות באותו יום גנבו לי את כל תכולת הארנק ולכן אני קצת פרנואידית. מאז התקנתי גירסה חדשה של אלקטרום ופתחתי ארנק חדש עם וידוא חתימות.

        האם אני מבינה נכון שתהליך הוידוא רק מוודא שהארנק איננו זדוני ?

        סליחה על ההטרדה …..

        1. בן סמוחה

          נכון. תהליך אימות החתימות הוא האמצעי היחיד שקיים שמוודא ב-100% שהקובץ שאת מורידה – הוא קובץ הארנק האמיתי ששחררו מפתחי אלקטרום.
          כמובן שחשוב לשים לב שאת נמצאת באתרים הנכונים. ייתכן והורדת את הארנק לא מהאתר הרשמי ונפלת קורבן ל"פישינג".
          יש לך מדריך שימוש בארנק אלקטרום עם קישורים רלוונטים בקישור הבא: https://www.cryptojungle.co.il/blog/193
          כמו כן, חשוב שתעברי על כללי האצבע לאבטחת מידע בקישור הבא: https://www.cryptojungle.co.il/blog/25

          שבת שלום,
          בן

לתגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

שתפו את הפוסט עם חברים