Zum Inhalt springen

Alarm: Bitcoin Core wird/könnte angegriffen werden


Empfohlene Beiträge

Der Bitcoin Client wird angegriffen?

 

https://bitcoin.org/en/alert/2016-08-17-binary-safety

 

Nicht nur deshalb gilt, Binär-Dateien immer prüfen.

C:\>gpg --verify "C:\temp\SHA256SUMS.0.12.1.asc"
gpg: Signatur vom 04/15/16 08:37:20 Mitteleuropäische Sommerzeit
gpg:                mittels RSA-Schlüssel 0x90C8019E36C2E964
gpg: Korrekte Signatur von "Wladimir J. van der Laan (Bitcoin Core binary release signing key) <laanwj@gmail.com>" [vollständig]

Axiom

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich erkläre es mal am Beispiel von Windows. Linux hat die Version GPG 1.4 gleich mit drauf. Die Version 2.x muss kurz nachinstalliert werden. sudo apt-get install gnupg2

  • Download des Installationspakets von https://www.gpg4win.de/ und Gpg4Win installieren.
  • Download des PGP-Schlüssels von der Bitcoin Core Seite https://bitcoin.org/laanwj-releases.asc
  • Download des Programms  z.B. https://bitcoin.org/bin/bitcoin-core-0.12.1/bitcoin-0.12.1-win64.zip
  • Download der PGP-Signatur https://bitcoin.org/bin/bitcoin-core-0.12.1/SHA256SUMS.asc
  • Eingabeaufforderung (DOS-Box) mit CMD starten. Installieren ...
    gpg --import "C:\temp\laanwj-releases.asc"
    gpg: Schlüssel 0x90C8019E36C2E964: "Wladimir J. van der Laan (Bitcoin Core binary release signing key) <[url=mailto:laanwj@gmail.com]laanwj@gmail.com[/url]>"
    gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
    
    ... und überprüfen des PGP-Schlüssels.
    gpg --fingerprint [color=#0000ff]0x90C8019E36C2E964[/color]
    pub   4096R/0x90C8019E36C2E964 2015-06-24 [verfällt: 2017-02-13]
      Schl.-Fingerabdruck = 01EA 5486 DE18 A882 D4C2  6845 90C8 019E 36C2 E964
    uid    [ vollst.] Wladimir J. van der Laan (Bitcoin Core binary release signing key) <[url=mailto:laanwj@gmail.com]laanwj@gmail.com[/url]>
    
    Der Fingerprint entspricht dem von der Seite https://bitcoin.org/en/alert/2016-08-17-binary-safety
  • Überprüfen der Unversehrtheit der Signatur SHA256SUMS.0.12.1.asc (Die Version ist nachträglich im Namen zugefügt)
    gpg  --verify "C:\temp\[/b]SHA256SUMS.0.12.1.asc"
    gpg: Signatur vom 04/15/16 08:37:20 Mitteleuropäische Sommerzeit
    gpg: mittels RSA-Schlüssel0x90C8019E36C2E964
    gpg: Korrekte Signatur von "Wladimir J. van der Laan (Bitcoin Core binary release signing key) <[url=mailto:laanwj@gmail.com]laanwj@gmail.com[/url]>" [vollständig]
    gpg: WARNING: Dies ist keine abgetrennte Signatur; die Datei 'C:\temp\SHA256SUMS.0.12.1' wurde NICHT geprüft!
  • Überprüfen des Originals durch ermitteln des Hashwerts vom Programmpakts.
    "C:\Program Files (x86)\GNU\GnuPG\sha256sum.exe" "C:\temp\bitcoin-0.12.1-win64-setup.exe"
    c6e06f90e41c36c9a447f065952869e2d7d571ab34b86d061ae19ec25b2799d4  C:\temp\bitcoin-0.12.1-win64-setup.exe
    
  • Überprüfen, ob der gleiche Hashwert in der Datei SHA256SUMS.0.12.1.asc
  • Okay - alles gut. Wenn nicht, ist was faul!
Bearbeitet von Axiom0815
  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Vielen Dank!

gerne :D 

 

 

Die Methode, die du gerade vorschlägst, hängt aber sehr davon ab, ob man bitcoin.org vertraut. Was mir fehlt, sind alternative Quellen zu den öffentlichen Schlüsseln von Wladimir van der Laan bzw. dem Fingerprint. Finde ich leider auser in der Mailing-Liste nirgendwo.

 

https://github.com/bitcoin-core/gitian.sigs/tree/master/0.12.1-win-signed  ;)

 

PS: Natürlich geht auch das Signieren mit den Bitcoin-Client selbst. (Für Nutzer, die GPG nicht verwenden.)

Bearbeitet von Axiom0815
Link zu diesem Kommentar
Auf anderen Seiten teilen

Ach Du kannst einfach besser schreiben. ;)

Gut so!

 

Und hier jetzt die Lösung für Leute, die kein GPG installiert haben:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

abf0e7336621250702d7a55487c85b8de33c07a30fbc3ecf7f56c97007fcb4ce  bitcoin-0.12.1-linux32.tar.gz
54aca14b7512801ab78cc93f8576e1b66364a890e8017e8a187e4bf0209fd28c  bitcoin-0.12.1-linux64.tar.gz
91d14dcb9b88ca845df450ceb94250bb5c9a0d514d8ca0c55eb480d0ac77ef32  bitcoin-0.12.1-osx64.tar.gz
e1bc86d24dd978d64b511ada68be31057c20789fb9a6a86c40043a32bf77cb05  bitcoin-0.12.1-osx.dmg
08fc3b6c05c39fb975bba1f6dd49992df46511790ce8dc67398208af9565e199  bitcoin-0.12.1.tar.gz
fba73e4825a6421ce6cc1e48b67ff5f2847ae1b520d26272e69f7f25de4f36d1  bitcoin-0.12.1-win32-setup.exe
148fb438a32f1706a366a7825bbc5e770e5f9a20e5694f724a443275976a0791  bitcoin-0.12.1-win32.zip
c6e06f90e41c36c9a447f065952869e2d7d571ab34b86d061ae19ec25b2799d4  bitcoin-0.12.1-win64-setup.exe
d8e1ab9ff65b79c130ec6af8e36626310ffdaf6aacb7a40cfb76e7a63bdfcfd5  bitcoin-0.12.1-win64.zip
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
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=a2/6
-----END PGP SIGNATURE-----

1AxiomVw5SzhuUQaNGTPZKsvjmjWciadig

HJW7mhoacPz4B4FWMBJQVq/l+8/eeCRVdere9rsMVrZyC4Kd2efIZ8TE7P6w50POrJOr2Tvpi9Ot5u1LsF8bCDA=

So kann man die SHA256SUMS.0.12.1.asc auch auf Richtigkeit prüfen.

Signatur prüfen mit ein Bitcoin Client Deiner Wahl.

  1. Text eingeben (ohne abschießenden Zeilenumbruch)
  2. Adresse eingeben 1Axiom...adig  - das bin ich :D
  3. Signatur

Axiom

 

PS: Wer die Adresse in der Blockchain mit weiteren Adressen verknüpfen möchte, kann gern ein  Satoshi spenden. :P

  • Love it 2
Link zu diesem Kommentar
Auf anderen Seiten teilen

So, die Version 0.13.0 ist jetzt zum download online.
 
Check per GPG:
 

C:\>gpg  --verify "C:\temp\SHA256SUMS.0.13.0.asc"
gpg: Signatur vom 08/23/16 16:23:26 Mitteleuropäische Sommerzeit
gpg:                mittels RSA-Schlüssel 0x90C8019E36C2E964
gpg: Korrekte Signatur von "Wladimir J. van der Laan (Bitcoin Core binary release signing key) <laanwj@gmail.com>" [voll ständig]

 
Für die Freunde ohne GPG:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

f94123e37530f9de25988ff93e5568a93aa5146f689e63fb0ec1f962cf0bbfcd  bitcoin-0.13.0-aarch64-linux-gnu.tar.gz
7c657ec6f6a5dbb93b9394da510d5dff8dd461df8b80a9410f994bc53c876303  bitcoin-0.13.0-arm-linux-gnueabihf.tar.gz
d6da2801dd9d92183beea16d0f57edcea85fc749cdc2abec543096c8635ad244  bitcoin-0.13.0-i686-pc-linux-gnu.tar.gz
2f67ac67b935368e06f2f3b83f0173be641eef799e45d0a267efc0b9802ca8d2  bitcoin-0.13.0-osx64.tar.gz
e7fed095f1fb833d167697c19527d735e43ab2688564887b80b76c3c349f85b0  bitcoin-0.13.0-osx.dmg
0c7d7049689bb17f4256f1e5ec20777f42acef61814d434b38e6c17091161cda  bitcoin-0.13.0.tar.gz
213e6626ad1f7a0c7a0ae2216edd9c8f7b9617c84287c17c15290feca0b8f13b  bitcoin-0.13.0-win32-setup.exe
5c5bd6d31e4f764e33f2f3034e97e34789c3066a62319ae8d6a6011251187f7c  bitcoin-0.13.0-win32.zip
c94f351fd5266e07d2132d45dd831d87d0e7fdb673d5a0ba48638e2f9f8339fc  bitcoin-0.13.0-win64-setup.exe
54606c9a4fd32b826ceab4da9335d7a34a380859fa9495bf35a9e9c0dd9b6298  bitcoin-0.13.0-win64.zip
bcc1e42d61f88621301bbb00512376287f9df4568255f8b98bc10547dced96c8  bitcoin-0.13.0-x86_64-linux-gnu.tar.gz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
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=1/IW
-----END PGP SIGNATURE-----

1AxiomVw5SzhuUQaNGTPZKsvjmjWciadig

HGYx+ujZ+k5BKYevt+WXrb6cgHDnLw8UutTw1NEsf4odepCTKy95ytwYiuh+cLZCNOkbFM3MSkrBOkL8Z8RxhDk=




So kann man die SHA256SUMS.0.13.0.asc auch auf Richtigkeit prüfen.
Signatur prüfen mit ein Bitcoin Client Deiner Wahl.

  •  
  • Text eingeben (ohne abschießenden Zeilenumbruch)
  • Adresse eingeben 1Axiom...adig  - das bin ich :D
  • Signatur
  • Verifizieren (Prüfen)

Axiom
 
PS: An dieser Stelle noch einmal vielen Dank für die Spende auf die Adresse 1AxiomVw5SzhuUQaNGTPZKsvjmjWciadig. Sie ist jetzt in der Blockchain verewigt und ich werde Sie weiter für Signierung nutzen. <_< 

Bearbeitet von Axiom0815
  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Ok, das bedeutet aber, dass man dir trauen muss, richtig?

 

 

 

Es ist noch die originale Signatur von GPG mit dabei. Es kann also jeder auch noch mal selber prüfen.

Somit ist es nur noch mal eine zusätzliche Quelle und besser als blind irgendwas irgendwo runter zu laden.

Sollte dann der Hash nicht stimmen, kann man immer noch Vorsicht walten lassen.

 

Es ist also ein ALRM-Auslöser, nicht unbedingt das rundumsorglos Paket.

 

Wer dir subjektive Meinung hat, das ich manchmal auch was richtige hier schreibe, kann ja dies mit seiner bekannten Bitcoin-Adresse (wenn man eine hat) durch eine Satoshi-Überweisung kund tun. (So eine Art "Trust-Web".) 

 

Axiom

Link zu diesem Kommentar
Auf anderen Seiten teilen

Es ist noch die originale Signatur von GPG mit dabei. Es kann also jeder auch noch mal selber prüfen.

Somit ist es nur noch mal eine zusätzliche Quelle und besser als blind irgendwas irgendwo runter zu laden.

Sollte dann der Hash nicht stimmen, kann man immer noch Vorsicht walten lassen.

 

Es ist also ein ALRM-Auslöser, nicht unbedingt das rundumsorglos Paket.

 

Wer dir subjektive Meinung hat, das ich manchmal auch was richtige hier schreibe, kann ja dies mit seiner bekannten Bitcoin-Adresse (wenn man eine hat) durch eine Satoshi-Überweisung kund tun. (So eine Art "Trust-Web".) 

 

Axiom

 

Ok. D.h. ich kann feststellen, ob die hashes von dir bestätigt wurden, und muss dann aber dennoch einen Weg finden, die Hash der Dateien selbst zu ermitteln. Dafür braucht man idR gpg.

 

ein zweites Ding: man muss nun nicht nur dir vertrauen, sondern auch dem Forum bzw. mir. Wäre ja möglich, dass ich eine getürkte Version streue und dann als mod die Signatur + deine Adresse fälsche. Ist deine Adresse an anderer Stelle veröffentlicht?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ok. D.h. ich kann feststellen, ob die hashes von dir bestätigt wurden, und muss dann aber dennoch einen Weg finden, die Hash der Dateien selbst zu ermitteln. Dafür braucht man idR gpg.

 

ein zweites Ding: man muss nun nicht nur dir vertrauen, sondern auch dem Forum bzw. mir. Wäre ja möglich, dass ich eine getürkte Version streue und dann als mod die Signatur + deine Adresse fälsche. Ist deine Adresse an anderer Stelle veröffentlicht?

 

Nun, man muss gar nichts. :)

Man kann sich den Client auch selber schreiben. :P

 

Mit der GPG-Signatur kann ein anderer User, der auch GPG/PGP hat prüfen ob das oben auch richtig ist.

  • Wenn nicht kann er Krawall machen und andere können es dann auch lesen.
  • Wenn Okay, kann er ein Satoshi auf die Adresse von einer seiner bekannten Adressen überweisen und so kann dann ein anderer auch meine Adresse finden/zertifizieren.

Du als Admin kannst mein Post fälschen, aber dann stimmen die Signaturen nicht mehr.

Es sei denn, Du kannst aus meiner öffentlichen Adresse 1AxiomVw5SzhuUQaNGTPZKsvjmjWciadig den privaten Key errechnen.

Dies halte ich, ohne Dich jetzt unterschätzen zu wollen, für unwahrscheinlich. B)

 

Meine Adresse ist in der Blockchain verewigt. Somit dezentral gespeichert und geht nie mehr verloren. Man muss sich nur die Mühe machen, diese sich mal zu notieren.

 

Unabhängig kann man auch andere Quellen checken. Dies ist gerade mit der GPG-Signatur gut möglich.

Die Möglichkeit hier sollte nur eine Möglichkeit aufzeigen, dass Leute ohne GPG und entsprechender Erfahrung auch eine Kontrolle ausführen können und nicht "blauäugig" die Programm-Pakete runterladen zu müssen.

 

Wie gesagt, es ist nur ein Alarm-Trigger. ;) 

 

Ist deine Adresse an anderer Stelle veröffentlicht?

 

Blockchain.info kennt die Adresse unter Axiom0815.

 

 

Axiom

 

PS: Die Adresse lässt sich gut merken. 

1Axiom ... iadig, ... ist Axiom, Datensicherheit indirekt GPG

                                   ... ist Axiom, der intellektuelle Guru :D  

                                   ... ist Axiom, deutsch - intelligent - gut   *zwinker, duck und weg*

Bearbeitet von Axiom0815
Link zu diesem Kommentar
Auf anderen Seiten teilen

2. Wenn Okay, kann er ein Satoshi auf die Adresse von einer seiner bekannten Adressen überweisen und so kann dann ein anderer auch meine Adresse finden/zertifizieren.

Du als Admin kannst mein Post fälschen, aber dann stimmen die Signaturen nicht mehr.

Es sei denn, Du kannst aus meiner öffentlichen Adresse 1AxiomVw5SzhuUQaNGTPZKsvjmjWciadig den privaten Key errechnen.

Dies halte ich, ohne Dich jetzt unterschätzen zu wollen, für unwahrscheinlich.

 

 

 

Das ist interessant. Wenn ich dir etwas schicke, speichert mein Client deine Adresse, und schon kann ich in Zukunft bei jeder Nachricht, die du signierst, ohne Hilfe dritter - ohne jemandem vertrauen zu müssen - nachprüfen, ob sie wirklich von dir ist.

 

Die Adresse 1Axiom selbst beweist ja erstmal nur, dass da jemand in der Lage ist, eine Vanity Adresse zu bilden und Lust hat, darin "Axiom" unterzubringen. Ich habe gerade eine bestellt, werde sie hier posten, wenn sie soweit ist.

 

Da ist sie:, kam frisch per E-Mail von bitcoinvanitygen.com an

1AxiomJCSuKeRezPCLVMHU6YTHRnGnENX6

 

Und Bither hat fast im selben Moment eine Adresse ausgespuck:

1AxiomRxqxRYWu3BZRzmvwm6u6T9nmKbUw

 

Hehe ... eine Adresse, die meinen Namen enthält, Bergmann, bietet hingegen schon einen gewissen Schutz. Mein Laptop braucht ein paar Jahre, um sie zu finden, und bitcoinvanitygen verlangt 2 bitcoin dafür. 8 case-sensitive Buchstaben sind das Maximum, was derzeit möglich ist. Wenn ich eine Nachricht mit einer CBergmann-Adresse zeichnen würde, würde das vermutlich beweisen, dass ich Besitzer eines Supercomputers mit einigem Leerlauf bin.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Das ist interessant. Wenn ich dir etwas schicke, speichert mein Client deine Adresse, und schon kann ich in Zukunft bei jeder Nachricht, die du signierst, ohne Hilfe dritter - ohne jemandem vertrauen zu müssen - nachprüfen, ob sie wirklich von dir ist.

Richtig :) 

 

Die Adresse 1Axiom selbst beweist ja erstmal nur, dass da jemand in der Lage ist, eine Vanity Adresse zu bilden und Lust hat, darin "Axiom" unterzubringen. Ich habe gerade eine bestellt, werde sie hier posten, wenn sie soweit ist.

 

Da ist sie:, kam frisch per E-Mail von bitcoinvanitygen.com an

1AxiomJCSuKeRezPCLVMHU6YTHRnGnENX6

 

Und Bither hat fast im selben Moment eine Adresse ausgespuck:

1AxiomRxqxRYWu3BZRzmvwm6u6T9nmKbUw

 

Hehe ... eine Adresse, die meinen Namen enthält, Bergmann, bietet hingegen schon einen gewissen Schutz. Mein Laptop braucht ein paar Jahre, um sie zu finden, und bitcoinvanitygen verlangt 2 bitcoin dafür. 8 case-sensitive Buchstaben sind das Maximum, was derzeit möglich ist. Wenn ich eine Nachricht mit einer CBergmann-Adresse zeichnen würde, würde das vermutlich beweisen, dass ich Besitzer eines Supercomputers mit einigem Leerlauf bin.

 

Du musst die Adresse mit Anfangs und Endzeichen kombinieren. Also vorne ein Namen, hinteren ein Spruch bzw. Abkürzungen.

Aber es ist immer nur die ganze Adresse für eine Zertifizierung zu nutzen!

 

Axiom

Link zu diesem Kommentar
Auf anderen Seiten teilen

Richtig :) 

 

 

Du musst die Adresse mit Anfangs und Endzeichen kombinieren. Also vorne ein Namen, hinteren ein Spruch bzw. Abkürzungen.

Aber es ist immer nur die ganze Adresse für eine Zertifizierung zu nutzen!

 

Axiom

 

Ah, das ist clever. Mit den ersten und letzten Ziffern dürfte tatsächlich nichts schiefgehen.

  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.