Electrum

[Borian]

Цитата

Я запросил сертификат в самой Клеопатре

 

Вы это сейчас сделали? Почему у меня она ничерта не находит? Настройки все дефолтные, ничего там не менял.

[jam72]

удалено

Изменено 10 янв 2018, 09:19 пользователем jam72

[Borian]

Во блин, наконец стала находить. Почему сразу не могла, второй день пошёл. Как всё это дерьмо работает...

Изменено 10 янв 2018, 08:53 пользователем Borian

[Neotex]

Исправил свое предыдущее сообщение. Действительно,  electrum-3.0.5-setup.exe.asc это подпись к самому файлу electrum-3.0.5-setup.exe - контрольную сумму там не надо сверять, клеопатра сама её подсчитает и если что напишет что она не совпадает. Я сейчас специально проверил - исказил в electrum-3.0.5-setup.exe один байт - сразу показало что:

 

With certificate:
6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
Неверная подпись: Неверная подпись

 

То что я написал раньше применимо для проверки Bitcoin Core - там действительно есть отдельный файл подписанный с контрольными суммами внутри.

Изменено 10 янв 2018, 09:15 пользователем Neotex

[jam72]

@Neotex Удалил свой вопрос

[Borian]

Цитата

Затем, если щелкнуть на синюю строку отпечатка 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6 открываются подробности, из которых следует что ключ создан летом 2011 года. Таким образом злоумышленникам надо было создать ложный ключ в 2011 году, это бы уже вскрылось с тех времен.

 

Сделал детский фокус, и он сработал. В настройках винды изменил время на 2 года назад. Создал свою пару ключей и экспортировал на сервер. Можете проверить:

Отпечаток: 28F96438546647217AC663F1B26E76F43E6F2FDC

Имя: fdytryr

Действительно с: 10.01. 2016

 

Получается, кто угодно может создать сертификат с фальшивой датой начала? И тогда по барабану что тот ключ "создан летом 2011 года". Он мог быть когда угодно создан, если всё так.

Изменено 10 янв 2018, 09:28 пользователем Borian

[Neotex]

5 минут назад, Borian сказал:

 

Сделал детский фокус, и он сработал. В настройках винды изменил время на 2 года назад. Создал свою пару ключей и экспортировал на сервер. Можете проверить:

Отпечаток: 28F96438546647217AC663F1B26E76F43E6F2FDC

Имя: fdytryr

Действительно с: 10.01. 2016

 

Получается, кто угодно может создать сертификат с фальшивой датой начала? И тогда по барабану что тот ключ "создан летом 2011 года". Он мог быть когда угодно создан, если всё так.

 

Нужно проверять e-mail ( надо еще разобраться можно ли сделать фальшивый e-mail с подменой символов на похожие ), и видимо дату загрузки ключа на публичный сервер ( найти бы еще где это ). в общем непростой вопрос, надо разбираться дальше ;)

[Borian]

Да тут и не нужно никакого фальшивого e-mail. У этого Томаса там 2 мыла, уже сомнения есть. Что мешает так создать сертификат задним числом, с именем Thomas Voegtlin, вбить любое своё мыло, и трубить что я настоящий Томас, и раньше всех создал сертификат. Вот дата загрузки на сервер тут помогла бы. Будем искать как узнать.

[jam72]

@Borian нашел тут тему, там (в середине темы) Томас выступил. Но опять же можно сказать: "А вдруг это липовый Томас?" ). Спасибо за щепетильность, действительно нужно разобраться...

[Borian]

А может это настоящий Томас?

 

Отпечаток: 8788CAB3E5BF5F8D371007BED0E7BFC747BB6469

Имя: Thomas Voegtlin

Адрес эл. почты: voegtlin@electrum.org

 

Сертификат создан в 2010. Проверьте в Клеопатре.

 

P. S. Это тоже эксперименты нуба, вчера скачавшего GPG

Изменено 10 янв 2018, 10:21 пользователем Borian

[AndreyD1989]

Всё достаточно мутно. Чую через несколько недель битки с этого нового кошелька начнут "испаряться". 

Лучше поставьте другой кошель и переведите свои деньги на него. 

Раз пошли такие мутки с Электрумом, то лучше от него избавиться. 

[jam72]

@AndreyD1989 Вот вы шутите, а кто-то же вас послушает и уйдет на онлайн-кошелек ). 

[AndreyD1989]

13 минуты назад, jam72 сказал:

@AndreyD1989 Вот вы шутите, а кто-то же вас послушает и уйдет на онлайн-кошелек ). 

Ну если дурачок, то уйдет на онлайн кошелек.

С нынешними ценами на крипту уже любой может позволить себе хардваллет или отдельный винт с оф. кошельком. 

 

[jam72]

3 минуты назад, AndreyD1989 сказал:

С нынешними ценами на крипту уже любой может позволить себе хардваллет или отдельный винт с оф. кошельком. 

Ну, хардваллет позволить себе может не каждый... А насчет оф. кошелька, то от уязвимостей и он не застрахован (кстати, от последней уязвимости электрума хоть кто-нибудь пострадал?).

[Borian]

Как узнать время загрузки PGP-сертификата на сервер сертификатов, мне найти не удалось, возможно что без личного контакта с админами и разбора логов, этого и не узнать. А тем временем, тестовый "Thomas Voegtlin" уже красуется на серверах, например:

https://pgp.mit.edu/pks/lookup?op=vindex&search=0xD0E7BFC747BB6469

 

И действует аж с 2010 года, раньше всех других Томасов

Изменено 10 янв 2018, 11:44 пользователем Borian

[Borian]

Создал ещё тестового Томаса от 10.01.2009.

 

В архиве файл, подписанный им:

 

bedniy_Thomas.zip

 

Получается, вся эта е..тня с этими сигнатурами не имеет смысла, если сайт Электрума сломали и подменили контент. Потому что кто угодно может создать сертификат на имя этого Томаса, даже задним числом, залить его на сервер сертификатов, подписать им свой файл, залить его на сломанный сайт (обновив и ссылку на сертификат). Возможно, я ещё чего-то не знаю, но тот способ проверки подписи файла (https://bitzuma.com/posts/how-to-verify-an-electrum-download-on-windows/), не вызвал бы никаких подозрений. Тоже зелёненький прямоугольничек

Изменено 10 янв 2018, 12:35 пользователем Borian

[jam72]

33 минуты назад, Borian сказал:

Получается, вся эта е..тня с этими сигнатурами не имеет смысла, если сайт Электрума сломали и подменили контент.

...если не знать, как выглядит отпечаток томаса. Но мы же знаем. Так что смысл есть.

[Borian]

Цитата

...если не знать, как выглядит отпечаток томаса. Но мы же знаем. Так что смысл есть.

 

Да, мы "знаем", что его ID 0x2bd5824b7f9470e6. Но где доказательства? Повторюсь, на сервере сертификатов уже несколько Томасов с разными ID, кое-какие "созданы" даже раньше Улавливаете? Кому поверят?

Изменено 10 янв 2018, 12:52 пользователем Borian

[e46btc]

@Borian наверное, вы понимаете, что верить не обязательно.

Код в открытом доступе, можно скачать, проверить, собрать самому.  Но конечно 99% пользователей это не сделает.

 

[Borian]

Единственный вариант тут - гуглить ID 0x2bd5824b7f9470e6 по всем интернетам, по форумам, и смотреть, где этот ID раньше всего упоминается.

[jam72]

3 минуты назад, Borian сказал:

Да, мы "знаем", что его ID 0x2bd5824b7f9470e6. Но где доказательста?

Я давал ссылку, вот она более точная, по-моему, достаточное доказательство

[Borian]

Цитата

Код в открытом доступе, можно скачать, проверить, собрать самому.  Но конечно 99% пользователей это не сделает.

 

Я пока не знаю точно как работает GitHub, но знаю что там каждый может выкладывать свой код и вносить предложения. Где доказательства, что его не подменили и на Гитхабе, хотя-бы на короткое время (пока опытные прогеры не заметили подмену)?

 

Цитата

Я давал ссылку, вот она более точная, по-моему, достаточное доказательство

 

Да, это хорошее доказательство, потому что той теме на форуме 3 года. Но, конечно, если доверять админам этого Реддита. Но ведь куча людей просто ломанутся проверять подпись, и проверят по сертификату с подложным ID. Кто пойдёт гуглить этот ID по интернету? Немногие.

Изменено 10 янв 2018, 13:00 пользователем Borian

[jam72]

5 минут назад, Borian сказал:

Но ведь куча людей просто ломанутся проверять подпись, и проверят по сертификату с подложным ID. Кто пойдёт гуглить этот ID по интернету? Немногие.

Ломанутся в основном те, кто прочитает в какой-то теме или статье про электрум, как это делается (а там будет указан правильный фингерпринт) и те, кто с PGP уже знаком и в курсе, что подпись нужно, как минимум, прогуглить. Остальные 95%

даже не будут заморачиваться, так что хакеру этих жертв хватит и без хлопот с подписью.

[Borian]

Цитата

а там будет указан правильный фингерпринт

 

Вот это далеко не факт А статей таких немало. Имхо, неплохо бы админам сайта электрума сделать приписку, чтобы скачивающие гуглили ID и смотрели на дату публикации. А ещё лучше - как следует защищать сайт от взлома.

Изменено 10 янв 2018, 13:14 пользователем Borian

[jam72]

1 минуту назад, Borian сказал:

Вот это далеко не факт А статей таких немало.

Может ссылка есть?