A verificação dos arquivos binários deve sempre ser feita antes de se extrair, instalar e usar o software do Monero. Essa é a única maneira de assegurar que você está usando o software oficial do Monero. Com esse guia você aprenderá como não ser enganado a usar um programa falso do Monero que você venha a baixar em um phishing, em um ataque hacker, etc.
Para proteger a integridade dos binários, a equipe Monero fornece uma lista assinada criptograficamente contendo todos os hashes SHA256 dos binários. Se o binário que você baixou foi adulterado, ele irá produzir um hash diferente do que o hash esperado para o arquivo.
Esse é um guia avançado para os sistemas operacionais Linux, Mac e Windows e, portanto, você precisará saber como usar a linha de comando. Neste guia você aprenderá como instalar o software necessário, como importar a chave de assinatura, como baixar os arquivos necessários e como verificar se o seu binário é autêntico.
No Windows, vá para a página de download do Gpg4win e siga as instruções para a instalação.
No Mac, vá para a página de download do Gpgtools e siga as instruções para a instalação.
No Linux, o GnuPG já vem instalado por padrão.
Nessa seção você irá aprender como adquirir a chave de assinatura do Monero, como certificar-se de que você baixou a chave correta e como importar a chave para o GnuPG.
No Windows ou Mac, vá para a página com a chave GPG do
binaryFate,
que ele usa para assinar os binários do Monero, e salve-a como um arquivo
binaryfate.asc
em seu computador.
No Linux, você pode baixar a chave de assinatura do binaryFate através do seguinte comando:
wget -O binaryfate.asc
https://raw.githubusercontent.com/monero-project/monero/master/utils/gpg_keys/binaryfate.asc
Em todos os sistemas operacionais, verifique a impressão digital
(fingerprint) do arquivo binaryfate.asc
executando o seguinte comando em
um terminal:
gpg --keyid-format long --with-fingerprint binaryfate.asc
Verifique se a impressão digital do seu arquivo corresponde à impressão digital abaixo:
pub rsa4096/F0AF4D462A0BDF92 2019-12-12 [SCEA]
Key fingerprint = 81AC 591F E9C4 B65C 5806 AFC3 F0AF 4D46 2A0B DF92
uid binaryFate <[email protected]>
Se a impressão digital CORRESPONDE, então você pode continuar.
Se a impressão digital NÃO CORRESPONDE, NÃO CONTINUE a
instalação. Delete o arquivo binaryfate.asc
e volte para a seção
2.1.
Em um terminal, importe a chave de assinatura:
gpg --import binaryfate.asc
Se essa for a primeira vez que você estiver importando a chave, o resultado será algo parecido com isso:
gpg: key F0AF4D462A0BDF92: 2 signatures not checked due to missing keys
gpg: key F0AF4D462A0BDF92: public key "binaryFate <[email protected]>" imported
gpg: Total number processed: 1
gpg: imported: 1
gpg: marginals needed: 3 completes needed: 1 trust model: pgp
Se você já importou a chave anteriormente, o resultado será algo parecido com isso:
gpg: key F0AF4D462A0BDF92: "binaryFate <[email protected]>" not changed
gpg: Total number processed: 1
gpg: unchanged: 1
Nessa seção você irá aprender como baixar o arquivo de hashes e como verificar a sua autenticidade.
No Windows ou Mac, vá para a página com o arquivo de hashes em
getmonero.org e salve-a como um
arquivo hashes.txt
em seu computador.
No Linux, você pode baixar o arquivo com os hashes assinados através do seguinte comando:
wget -O hashes.txt https://www.getmonero.org/downloads/hashes.txt
O arquivo de hashes é assinado com a chave 81AC 591F E9C4 B65C 5806 AFC3
F0AF 4D46 2A0B DF92
conforme exibido no resultado abaixo.
Em todos os sistemas operacionais, a verificação da assinatura do arquivo de hashes pode ser obtida em um terminal através do seguinte comando:
gpg --verify hashes.txt
Se o arquivo for autêntico, o resultado será algo parecido com isso:
gpg: using RSA key 81AC591FE9C4B65C5806AFC3F0AF4D462A0BDF92
gpg: Good signature from "binaryFate <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 81AC 591F E9C4 B65C 5806 AFC3 F0AF 4D46 2A0B DF92
Se o resultado exibir Assinatura válida (Good signature), como no exemplo, então você pode continuar.
Se o resultado exibir Assinatura inválida (BAD signature), NÃO
CONTINUE. Delete o arquivo hashes.txt
e volte para a seção
3.1.
Nessa seção você irá aprender como baixar o binário do Monero para o seu
sistema operacional, como obter o hash SHA256
do arquivo binário que você
baixou e como verificar se ele está correto.
On Windows or Mac, go to getmonero.org and download the correct file for your operating system. Save the file to your home directory. Do not extract the files yet.
No Linux, você pode baixar as ferramentas de linha de comando usando o seguinte comando:
wget -O monero-linux-x64-v0.15.0.1.tar.bz2 https://downloads.getmonero.org/cli/linux64
Os passos para o Linux e para o Mac são os mesmos. Em um terminal, obtenha o
hash SHA256
do binário do Monero que você baixou. Como exemplo, esse guia
irá usar o binário do GUI para Linux, 64bit
. Substitua
monero-gui-linux-x64-v0.15.0.4.tar.bz2
com o nome do binário que você
baixou na seção 4.1.
shasum -a 256 monero-linux-x64-v0.15.0.1.tar.bz2
O resultado será algo parecido com o exibido abaixo, mas será diferente para
cada arquivo binário. O hash SHA256
do arquivo binário em seu computador
deve corresponder ao hash que está listado para o seu binário no arquivo
hashes.txt
.
8d61f992a7e2dbc3d753470b4928b5bb9134ea14cf6f2973ba11d1600c0ce9ad
monero-linux-x64-v0.15.0.1.tar.bz2
Se o hash CORRESPONDE, então você pode prosseguir! Extraia os arquivos e prossiga com a instalação.
Se o hash NÃO CORRESPONDE, NÃO CONTINUE. Delete o binário que você baixou e volte para a seção 4.1.
Em um terminal, obtenha o hash SHA256
do binário do Monero que você
baixou. Como exemplo, esse guia irá usar o binário do GUI para Windows,
64bit
. Substitua monero-gui-win-x64-v0.15.0.4.zip
com o nome do binário
que você baixou na seção 4.1.
certUtil -hashfile monero-gui-win-x64-v0.15.0.4.zip SHA256
O resultado será algo parecido com o exibido abaixo, mas será diferente para
cada arquivo binário. O hash SHA256
do arquivo binário em seu computador
deve corresponder ao hash que está listado para o seu binário no arquivo
hashes.txt
.
SHA256 hash of file monero-gui-win-x64-v0.12.0.0.zip: 4b 9f 31 68 6e ca
ad 97 cd b1 75 e6 57 4b f3 07 f8 d1 c4 10 42 78 25 f4 30 4c 21 da 8a ac 18
64 CertUtil: -hashfile command completed successfully.
Se o hash CORRESPONDE, então você pode prosseguir! Extraia os arquivos e prossiga com a instalação.
Se o hash NÃO CORRESPONDE, NÃO CONTINUE. Delete o binário que você baixou e volte para a seção 4.1.