نحوه تأیید چک سام و امضای PGP نرم افزار Ledger Live

بررسی چک سام نرم افزار Ledger Live

اگرچه کیف پولهای سخت افزاری امنترین گزینه برای ذخیره رمزارزها هستند، اما با وجود آنها هم هنوز کاربرانی هستند که کوین های خود را از دست میدهند. البته این اتفاق بیشتر برای تازه واردان به این حوزه می افتد. که آن هم به خاطر غفلت خودشان است. آنها به دام واضح ترین کلاهبرداری ها میفتند.

ابتدایی ترین گامی که باید برای حفاظت از رمزارز های خود بردارید ، دور ماندن از کلاهبرداری های فیشینگ است. در پی اطلاعات اخیری که در وبسایت لجر منتشر شده ، کمپین های فیشینگ منظمی در توییتر، یوتیوب ، اس ام اس و ایمیل راه اندازی شده است. در این کمپین ها کاربران زیادی گزارش قربانی شدنشان در این حملات را منتشر کرده اند.

به خاطر داشته باشید که هدف اصلی هکرها عبارت بازیابی شما است. بیشتر روشهای فیشینگ آنها برای به دست آوردن عبارت بازیابی شما طراحی شده است.

- Advertisement -

اطمینان حاصل کنید که 24 عبارت خود را ایمن ، خصوصی و کاملا آفلاین نگه داری میکنید. هیچ گاه عبارات بازیابی خود را در اختیار دیگران قرار ندهید. به علاوه، از این عبارات هیچ نسخه دیجیتالی تهیه نکنید. این اطلاعات را در کامپیوتر، تلفن همراه یا وب وارد نکنید. از آنها عکس نگیرید و از آنها پرینت هم نگیرید. بهتر است که این عبارات را بر روی یک برگ کاغذ بنویسید یا بر روی یک صفحه فلزی حک کنید.

شما فقط در آینده در صورت گم شدن یا خراب شدن دستگاه ، برای بازیابی وجوه خود به این اطلاعات نیاز خواهید داشت. برای ورود به کیف پول سخت افزاری اصل و قانونی خود کافی است این عبارات را وارد کنید . اگر مایلید از اصل بودن دستگاه خود مطمئن شوید ، بهتر است به این آدرس مرجعه کنید:

https://support.ledger.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine

جدا از این اینکه باید از معتبر و اصل بودن دستگاه خود اطمینان حاصل کنید، لازم است برنامه نرم افزاری  Ledger Live را هم بر روی دستگاه اجرا کنید. برای اجرای این برنامه میتوانید از طریق بررسی هش و امضای این نرم افزار وارد عمل شوید.

خوب اما چگونه فرآیند بررسی هش (چک سام ) و امضای PGP  این برنامه را عملی کنیم؟

چرا تأیید Ledger Live ضروری است؟

برخی افراد معتقدند از آنجایی که کلیدهای خصوصی به صورت ایمن در دستگاه ذخیره شده اند پس بررسی صحت Ledger Live خیلی هم ضروری نیست. بله درست است .اما نکته مهم درباره ی کیف پول های سخت افزاری این است که حتی اگر در محیطی پر خطر هم استفاده شوند، کوین های شما کاملاً در امان هستند. اما ممکن است هنوز هم در معرض حملات فیشینگ باشید.

برای مثال موقعیتی را در نظر بگیرید که شما برنامه Ledger Live را از لینک ایمیلی که اخیراً دریافت کرده اید، دانلود کردید. ممکن است شما از این جریان اطلاع نداشته باشید که به محض تأیید این نرم افزار به شخص ثالث مخربی اجازه میدهید برنامه را دستکاری کند.

نکته اینجاست که هکرها تنها با اجرای این برنامه مخرب نمیتوانند مستقیم همه سرمایه شما را به سرقت ببرند. بلکه از طریق این نرم افزار دستکاری شده به روش های مختلف قادرند شما را گول بزنند.

1. یک برنامه کیف پول جعلی ممکن است از شما 24 عبارت کلیدیتان را بخواهد. بسیاری از کاربران از این نکته که عبارات کلیدی لازم نیست در جایی به غیر از ورود به دستگاه لجر وارد شود، آگاه هستند. اما همانطور که قبلاً هم گفتیم تازه واردان از این نکته بی خبرند و ممکن است گول بخورند.

• به خاطر داشته باشید که برنامه نرم افزاری Ledger Live هیچگاه برای ادامه فعالیت از شما نمیخواهد عبارات کلیدی یا عبارت رمزی تان را وارد کنید. اگر چنین اتفاقی افتاد، واضح است که در حال استفاده از یک برنامه جعلی هستید که برای سرقت دارایی شما طراحی شده است.

1. برنامه ی Ledger Live ای که دستکاری شده باشد ،از طریق روش های مخفی و سری میتواند یک آدرس به ظاهر شبیه به آدرس گیرنده ای که شما قصد ارسال کوین به ان را دارید بسازد.

• حواستان باشد که قبل از تأیید هرگونه تراکنشی، در دستگاه لجر خود آدرس گیرنده را چک کنید.

برای محافظت در برابر چنین تغییراتی از موارد زیر اطمینان حاصل نمایید:

• همیشه برنامه Ledger Live را از سایت رسمی لجر دانلود کنید.
• قبل از اجرای این برنامه به دقت آن را مورد بررسی قرار دهید.

اولین گام امنیتی بررسی نرم افزار Ledger Live است.

درست است که تهیه کیف پول سخت افزاری شروع بسیار خوبی است، اما با همه این اوصاف بهتر است محافظه کار باشید و تمام اقدامات امنیتی جهت حفاظت از داراییتان در برابر هکرها را اجرا کنید.

نه فقط برنامه کیف پول بلکه این کار باید برای هر نرم افزاری که روی رایانه خود نصب می کنید انجام شود ، خصوصاً اینکه شما دیگر به حوزه رمزارز وارد شده اید. شما باید از منبع آن آگاه باشید و برای اطمینان از معتبر بودن نرم افزار آن را بررسی کنید.

این یک روش استاندارد است و به عنوان یک کاربر رمزارز همیشه باید از آن به عنوان یک قانون کلی پیروی کنید. این امر تا حد زیادی شما را در برابر انواع بدافزارها محافظت می کند.

قبل از اینکه به این مسئله بپردازیم که چطور چک سام نرم افزار Ledger Live را بررسی کنیم، بهتر است اطلاعاتی درباره روند بررسی MD5، SHA256 و چک سام نرم افززار / کیف پول رمزارز بپردازیم.

چگونه MD5، SHA256 و چک سام نرم افزار / کیف پول رمزارز را بررسی کنیم؟

اخیراً یکی از کاربران در صفحه Github  پرسیده بود:

من در قسمت فایلهای مناسب برای ویندوز 64 بیتی ،چندین فایل را می بینم. یک فایل .exe ، یک فایل .md5sum و یک فایل .sha256sum ؛ کدوم رو دانلود کنم؟ ما به او پیشنهاد دادیم که فایل .exe یا فایل .zip که سایزش بزرگتر است را دانلود کند. فایل هایی که سایزشان بزرگتر است فایل های اصلی کیف پول هستند و بقیه تنها چک سام میباشند.

بسيار خوب! اما این فایلهای MD5sum و SHA256sum چه هستند و چرا توسعه دهندگان این فایل ها را در کنار فایل های قابل بارگیری قرار می دهند؟

SHA256sum و MD5sum برنامه هایی هستند که به ترتیب الگوریتم های هش SHA256 و MD5 را پیاده سازی می کنند. که عمدتاً برای تأیید صحت و صحت پرونده استفاده می شود.

هر دوی اینها الگوریتم های هش متفاوتی هستند و این توسعه دهنده است که تصمیم میگیرد کدام هش را در صفحه دانلود قرار دهد. همانطور که در بالا مشاهده میکنید، توسعه دهندگان پروژه  Ravencoin هر دوی این الگوریتم ها را برای تأیید فایل دانلود شده کیف پول ارائه داده اند. اما همیشه هم در همه سایتهای رمزارز ها هر دوی این ها موجود نیستند.

به علت وجود نقایص امنیتی در الگوریتم MD5 ، بیشتر توسعه دهندگان هش MD5 را در اختیار کاربران قرار نمیدهند.

در حال حاضر فقط مقادیر هش SHA256 به طور گسترده ای استفاده می شوند و محبوبتر هستند. در وب سایت مونرو( Monero) ممکن است متوجه هش SHA256 شده باشید که در کنار نرم افزار ذکر شده است.

در Bitcoin core چیزی به نام امضای انتشار پیدا خواهید کرد، یا به عبارت دیگر آنها هش انتشار نیز نامیده می شوند. آنها فایل ASC هستند که معمولاً حاوی هش SHA256 و یک امضای PGP میباشند.

فقط فایل را انلود کنید و با استفاده از Notepad یا ترجیحاً در Notepad ++ آن را باز کنید. یک رشته تصادفی از حروف و اعداد مشابه آنچه در زیر آمده است را خواهید دید.

اینها هش رمزنگاری شده هستند . کاربر با استفاده از این اطلاعات میتواند صحت و درستی فایل را چک کند. توسعه دهندگان رمزارزها و اغلب وب سایت ها از کاربران میخواهند که قبل از استفاده از هر فایل از صحت و اعتبار آن مطمئن شوند. که البته اکثر کاربران اصلاً از طریقه استفاده از این اطلاعات آگاه نیستند.  فرآیند ذکر شده در بالا، برای نرم افزار Ledger Live هم دقیقاً همینطور است فقط هش Ledger Live از SHA512 استفاده میکند.

چطور چک سام نرم افزار Ledger Live را تأیید کنیم؟

از طریق آدرسهای زیر هش های sha512sum همه برنامه های Ledger Live ای که اخیراً به بازار آمده اند را میتوانید چک کنید.

https://ledger-live-tools.now.sh/lld-signatures

https://github.com/LedgerHQ/ledger-live-desktop#signed-hashes

با مقایسه هش sha512 نرم افزار Ledger live که در دستگاهتان اجرا شده با هش sha512  موجود در صفحه ،می توانید از صحت و اعتبار برنامه خود مطمئن شوید.

این اطلاعات در صفحه دانلود وبسایت رسمی کیف پول موجود نیست، چرا که هش ذخیره شده در همان سرور باینری، هیچ امنیتی ایجاد نمی کند. اگر سرور هک شود ، هر دو فایل به خطر می افتند.

تأیید هش پکیج نصب:

آخرین نسخه برنامه live Ledger را در رایانه خود دانلود کنید. تا به صورت کامل دانلود نشده مرحله اجرا را آغاز نکنید. پس از اینکه کاملاً تأیید شد برنامه را اجرا کنید.

در این قسمت چگونگی تأیید صحت چک سام در ویندوز ، لینوکس و مک برای شما فراهم شده است:

• Windows

به پوشه ای بروید که فایل بارگیری را در آن قرار داده اید.دکمه SHIFT را نگه داشته و کلیک راست کرده و پنجره PowerShell را باز کنید. اکنون دستور زیر را وارد کنید.

CertUtil -hashfile filename.exe sha512

مثال:

CertUtil -hashfile ledger-live-desktop-2.18.0-win.exe sha512

پس از وارد کردن دستور بالا نتیجه زیر حاصل میشود. البته بسته به نسخه نرم افزاری که استفاده میکنید مقدار هش تغییر خواهد کرد.

این اطلاعات به دست آمده را کپی کرده و هش آن را با هش sha512 که در صفحه زیر وجود دارد، مقایسه کنید.

https://ledger-live-tools.now.sh/lld-signatures

اگر مطابقت داشت ، نشان میدهد که شما یک نسخه ی اصلی دارید و میتوانید عملیات را ادامه داده و آن را نصب کنید.

• Linux

در Linux پنجره Terminal را باز کرده و کد زیر را وارد کنید.

Sha512sum <path>/<filename>

• Mac

در Mac پنجره Terminal را باز کرده و خط زیر را وارد کنید.

shasum -a 512 filename

پس از تأیید هش sha512sum ، می توانید نصب را ادامه دهید.

تأیید امضای PGP چیست ؟

امضاهای PGP راهی عالی برای اطمینان از امنیت و اطمینان از فایل ها هستند. اما در رفرنسی از این امضاها در صفحات دانلود وبسایت لجر یا GitHub وجود ندارد.