v0.13

[house11]

otwieram mój portfel na dysku i pisze że wersja jest przestarzała.

na bitcoin.pl przy wersji v0.13 pisze, że "Zanim ściągiesz wersję wykonywanlną sprawdz autentyczność pliku poprzez weryfikację podpisu!"

wchodze na strone bitcoin.org a tam "0.13.0 Binary Safety Warning"

Nie znam się specjalnie na weryfikacjach podpisów itd. Może mi ktoś powiedzieć ocb? Czemu muszę tracić czas na dowiadywanie się i zastanawianie czy jestem bezpieczny i czy mogę bez problemu ściągnąć kolejną wersję. Czy projekt na pewno zmierza w dobrą stronę?

[rav3n_pl]

Głowę bym dał, że widziałem opis jak to zweryfikować.
Trzeba wyliczyć hasz zipa który ściągasz z bitcoin.org i sprawdzić, czy zgadza się z haszem zawartym w pliku txt
Zawartość pliku txt jest podpisana kluczem dewelopera Core co daje pewność, że nie jest on zmieniony.
Potrzebne jest gpg do weryfikacji podpisu i "coś" do liczenia hasza, choćby total commander czy sysinternals

[house11]

czy mógłbyś to wytłumaczyć na chłopski rozum? Nie zrozumiałem większości co napisałeś.
nie jestem programistą.. co po kolei trzeba zrobić?

Jaka jest szansa że jak po prostu ściągnę ze strony bitcoin.org wersje 0.13 to okaże się ona zła i ktoś mnie okradnie?

[rav3n_pl]

Czy na pewno chcesz używać Core? Nie prościej coś lekkiego?
Nawet, jeżeli Twój Core marudzi możesz wysłać monety.

[house11]

czyli mogę bez problemu używać v.0.12 i nic złego się nie stanie?

[rav3n_pl]

Jeżeli nie kopiesz z jego pomocą - oczywiście

[MusX]

zobacz jakie featury daje v0.13 i czy ich potrzebujesz, jesli nie to nie ma sie co przesiadac, weryfikacje jaka ja robie to z reguly wrzucenie sha/md5 ze strony z ktorej pobieram w google zeby upewnic sie ze sygnatura jest znana w sieci na forach itp, i wtedy licze sha/md5 na pliku lokalnie, w gpg sie nie bawie w tym przypadku

[adam1226]

Czy na pewno chcesz używać Core? Nie prościej coś lekkiego?
Nawet, jeżeli Twój Core marudzi możesz wysłać monety.

electrum tez ma podpis i przydaloby sie zeby drodzy koledzy pomogli sie dowiedziec jak sprawdzac poprawnosc podpisu :F

[rav3n_pl]

To by chyba trzeba poradnik albo film zrobić, bo napisałem CO trzeba a to widzę nie ma wiedzy JAK.

[tomko222]

Manual GPG (wbrew pozorom w bardzo prosty sposób opisuje - ogólnie jeden z lepszych manuali jakie widziałem): https://www.gnupg.org/gph/en/manual.html
No i później już tylko sha256sum.
A ogólnie cały poradnik weryfikacji jest na reddicie: https://www.reddit.com/r/Bitcoin/wiki/v ... tcoin_core

[Bitmar]

Nie znam się specjalnie na weryfikacjach podpisów itd. Może mi ktoś powiedzieć ocb? Czemu muszę tracić czas na dowiadywanie się i zastanawianie czy jestem bezpieczny i czy mogę bez problemu ściągnąć kolejną wersję. Czy projekt na pewno zmierza w dobrą stronę?

To przecież nie jest tylko problem bitcoina, ale wszystkich projektów open source. Oprogramowanie dzielimy na 2 grupy:
- zamknięte, gdzie nie znamy kodu źródłowego i nie wiemy jak dokładnie działa. Musimy mieć zaufanie do twórców czy nie aplikują nam np. jakiś funkcji szpiegowskich czy innych trojanów co często się zdarza.
- Open source - ogólnodostępny kod tworzony przez ludzi. Możemy dokładnie prześledzić jak on działa, nic się nie ukryje, nie ma szans przemycić niepożądanych funkcji.

Z projektami open source jest jednak taki problem, że nie każdy potrafi je "czytać" czy też skompilować. Dlatego deweloperzy umieszczają również wersje wykonywalne już skompilowane dla mniej zaawansowanych użytkowników. Jako, że każdy może pobrać kod źródłowy, zmodyfikować go i podłożyć gdzieś w sieci, użytkownicy muszą zwracać uwagę co ściągają.
Samo ściąganie z bitcoin.org nie wystarczy, gdyż użytkownikowi można podsunąć spreparowaną wersję strony modyfikując np. DNSy na routerze itd.

Developerzy Core ponoć dostali cynk, że rząd (prawdopodobnie)Chin może przeprowadzić atak na bitcoina właśnie podstawiając spreparowaną wersję kompilacji v0.13. Chiny akurat mają rządowy firewall więc generalnie rząd chiński może podmienić dowolną stronę w sieci i dowolny plik na swój. Dlatego ważne jest aby sprawdzać podpisy. I nie jest to problem bitcoina ale generalnie oprogramowania i internetu. Każdy program i każdą stronę w sieci da się podmienić, ale użytkownicy mogą się przed tym bronić np. poprzez sprawdzanie kluczy.

[ShadowOfHarbringer]

Developerzy Core ponoć dostali cynk, że rząd (prawdopodobnie)Chin może przeprowadzić atak na bitcoina właśnie podstawiając spreparowaną wersję kompilacji v0.13.

Developerzy Core dawno już utracili wiarygodność, więc tak naprawdę nie wiadomo o co im chodziło.

Może to jakaś gra psychologiczna (Gregory Maxwell uwielbia psychogierki) wymierzona w alternatywne klienty, pewnie się nigdy nie dowiemy o co poszło.

Jak widać była to burza w szklance wody, nic się nie stało.

@house11

Jesteś pewien, że potrzebujesz takiego ciężkiego klienta jak Core do przechowywania Bitcoinów ? Nie lepiej coś lekkiego - np. Electrum https://electrum.org/ lub MultiBit https://multibit.org/ ?

A jeżeli już koniecznie musisz mieć "ciężkiego" klienta, to polecam raczej Bitcoin Classic lub Bitcoin Unlimited - działanie identyczne jak Core, ale z odblokowanym rozwojem BTC i bez gierek politycznych Blockstreamu.

Historia BitcoinCore zakończyła się. Ten klient umiera.

[hanti]

Developerzy Core ponoć dostali cynk, że rząd (prawdopodobnie)Chin może przeprowadzić atak na bitcoina właśnie podstawiając spreparowaną wersję kompilacji v0.13. Chiny akurat mają rządowy firewall więc generalnie rząd chiński może podmienić dowolną stronę w sieci i dowolny plik na swój. Dlatego ważne jest aby sprawdzać podpisy

Rownie dobrze moga podmienić info o tym jaki ma byc podpis

[rav3n_pl]

@hanti, musieliby mieć dostęp do kluczy które są używane do podpisywania.

[pm7]

@rav3n_pl, A jak weryfikujesz, czy ID klucza jest prawidłowe?

[rav3n_pl]

Klucze są dostępne, są keyringi, wystarczy poszukać.

[Adrix]

otwieram mój portfel na dysku i pisze że wersja jest przestarzała.

na bitcoin.pl przy wersji v0.13 pisze, że "Zanim ściągiesz wersję wykonywanlną sprawdz autentyczność pliku poprzez weryfikację podpisu!"

wchodze na strone bitcoin.org a tam "0.13.0 Binary Safety Warning"

Nie znam się specjalnie na weryfikacjach podpisów itd. Może mi ktoś powiedzieć ocb? Czemu muszę tracić czas na dowiadywanie się i zastanawianie czy jestem bezpieczny i czy mogę bez problemu ściągnąć kolejną wersję. Czy projekt na pewno zmierza w dobrą stronę?

@house11,
To nie świadczy o ułomności bitcoina, a jedynie o ułomności konstrukcji globalnej sieci www. Ostatnio napisałem na swoim blogu wpis odnośnie weryfikacji podpisów plików portfela. Link masz TUTAJ.

[maky]

Developerzy Core ponoć dostali cynk, że rząd (prawdopodobnie)Chin może przeprowadzić atak na bitcoina właśnie podstawiając spreparowaną wersję kompilacji v0.13. Chiny akurat mają rządowy firewall więc generalnie rząd chiński może podmienić dowolną stronę w sieci i dowolny plik na swój. Dlatego ważne jest aby sprawdzać podpisy. I nie jest to problem bitcoina ale generalnie oprogramowania i internetu. Każdy program i każdą stronę w sieci da się podmienić, ale użytkownicy mogą się przed tym bronić np. poprzez sprawdzanie kluczy.

Tak nieśmiało zauważę, że klucze też można podmienić...

[rav3n_pl]

Oczywiście, ale jeżeli ktoś używa klucza wcześniej i zapisze jego hasz/fingerprint w wielu miejscach, to nie ma szans żeby to zrobić niezauważenie.

[grzem]

To nie świadczy o ułomności bitcoina, a jedynie o ułomności konstrukcji globalnej sieci www. Ostatnio napisałem na swoim blogu wpis odnośnie weryfikacji podpisów plików portfela. Link masz TUTAJ.

"Do tego celu pobieramy i instalujemy program Gpg4win dla windows z oficjalnej strony projektu."
Tym razem oficjalna strona projektu (innego) już jest OK?!

"Teraz należy pobrać klucze publiczne developerów Bitcoin core, które znajdują się na Reddicie lub bezpośrednio z serwera cryptotrader i zaimportować je do programu poprzez funkcję „Import Certificates”."
Wystarczy, że z reddita i już mamy poprawne?!

Może zatem umieścić v0.13 na reddicie zamiast na oficjalnej stronie projektu.