前言
在解压、安装或使用门罗币相关软件之前,应该对门罗币二进制文件进行验证。这是确保你使用门罗币官方二进制文件的唯一方法。如果你收到一个假二进制文件,(例如:钓鱼攻击,中间人攻击等),遵循本指南将保护你不被欺骗使用它。
为了保护二进制文件的完整性,门罗币团队提供了所有 SHA256 哈希的加密签名列表。如果你下载的二进制文件被篡改了,它将产生一个不同于文件中的哈希值。
这是一个 Windows 操作系统的初学者指南,几乎完全使用图形用户界面(进阶教程则使用命令行,具体见另外一篇教程)。它将引导你完成安装所需软件、导入签名密钥、下载所需文件以及最后验证二进制文件是否真实。
接下来是验证的完整流程:
1. 安装 Gpg4win
本节将介绍如何安装加密软件。Windows 没有提供验证二进制文件所需的工具。要安装这些工具,可以使用 Gpg4win 安装程序。
1.1. 获得 Gpg4win 安装程序
1.1.1. 下载 Gpg4win
在浏览器中,访问 gpg4win.org,单击绿色按钮下载安装程序
你将被带到一个捐赠页面。如果你不希望捐赠选择 $0,然后点击【Donate & Download】
选择下载位置
1.1.2. 启动 Gpg4win
下载完成后,打开文件夹
双击下载的 gpg4win 可执行文件以启动
1.2. 使用 Gpg4win 安装程序
选择简体中文,点击【OK】
进入安装界面,点击【下一步】
选定安装组件,必须至少要勾选 Kleopatra ,点击【下一步】
选择目标文件夹,点击【安装】
点击【下一步】
点击【完成】
2. 导入签名密钥
本节将介绍如何下载门罗币签名密钥,验证密钥是否正确,然后将密钥导入你的钥匙扣。哈希文件将用于验证你下载的二进制文件是用门罗币签名密钥加密签名的。为了检查此文件的有效性,你必须拥有签名公钥。
2.1. 下载签名密钥
在浏览器中,访问 Fluffypony 的 GPG 密钥:https://raw.githubusercontent.com/monero-project/monero/master/utils/gpg_keys/fluffypony.asc
他使用该密钥来签署门罗币二进制文件。右击页面,选择【另存页面为】
选择好证书的下载路径 E:\downloads,默认文件名为 fluffypony
2.2. 初始化 Kleopatra
如果这是你第一次使用 Kleopatra,你必须先给自己创建一个密钥对
启动 Kleopatra
2.2.1. 签名密钥
点击【导入】
找到之前下载的证书文件 fluffypony,然后单击【打开】
点击【是】,开始验证密钥的过程
2.2.2. 创建密钥
点击【是】,开始生成密钥的过程
填写名字和电子邮件,可以不使用真实信息,只要形式上符合要求即可,单击【下一步】
确认详细信息,单击【新建】
设置密码,点击【OK】
点击【完成】
2.3. 验证签名密钥
仔细核对 Riccardo Spagni 的密钥指纹是BDA6BD7042B721C467A9759D7455C5E3C0CDCEB9
如果指纹确实匹配,点击【下一步】
如果指纹不匹配,请不要继续。相反,从下载目录中删除文件 fluffypony 并回到 2.1节
选择【只认证自己】,点击【认证】
输入密码,单击【OK】。
点击【完成】
3. 验证哈希文件
本节将介绍如何下载签名文件(包含已知无误的哈希值)并验证其真实性。
3.1. 下载哈希文件
在浏览器中,访问 getmonero.org 有关哈希的值页面:https://web.getmonero.org/downloads/hashes.txt
右击该页,选择【另存页面为】
选择好证书的下载路径 E:\downloads,默认文件名为 hashes
3.2. Verify Hash File 验证哈希文件
在 Kleopatra 中,单击 【解密/检验】按钮
选择之前下载的 hashes 文件,点击【打开】
Kleopatra 将通知你,该文件签名是否有效
如果签名有效,你会看到:
如果签名无效,你会看到:
如果你收到有效的签名,单击【丢弃】并继续。
如果你收到无效签名,请不要继续。相反,从下载目录中删除 hashes 文件,回到 3.1 节。
4. 验证二进制文件
本节将介绍下载门罗币二进制文件并验证其真实性。
4.1. 下载二进制文件
在浏览器中,访问 getmonero.org 下载页面:https://web.getmonero.org/downloads/
为你的系统选择正确的二进制文件。
选择【保存文件】,点击【确定】
选择好文件的下载路径 E:\downloads,默认文件名为 monero-gui-win-x64-v0.15.0.1
4.2. 验证二进制文件
先用文字处理器打开文件 Hashes
然后,在 Windows 搜索栏中,打开 PowerShell
输入命令:
Get-Filehash “E:\downloads\monero-gui-win-x64-v0.15.0.1.zip” -Algorithm SHA256
此处,E:\downloads\monero-gui-win-x64-v0.15.0.1.zip 是文件保存地址,你可以根据实际情况进行调整。算法 SHA256 不要变动,以免得出错误结果,或验证失败。
P.S:也使用别的命令行工具,如门罗币官网教程使用的是 cmd
命令也很简单,根据用户之前保存的位置,稍微有所不同。
第一步,因为我把安装文件存在E盘,所以先切换盘符,输入 e:
第二步,进入到具体的文件夹,输入 cd downloads (根据保存位置,前两步要稍微调整)
第三步,输入 certUtil -hashfile monero-gui-win-x64-v0.15.0.1.zip SHA256
其中,monero-gui-win-x64-v0.15.0.1.zip 是我们具体要验证哈希的文件名,要验证别的文件,只需要把别的文件的文件名替换到这里
最后,将官方提供的各软件的正确哈希值和我们用命令获得的软件哈希值进行对照。
如果哈希匹配,那么验证就完成了!你可以确定你手上的门罗币相关软件是真的。你可以正常解压和安装/使用这些文件。
如果哈希不匹配,请不要继续。相反,从下载目录中删除门罗币二进制文件并回到 4.1 节,进行操作。
以上,就是教程所有的内容,感谢大家的观看!