시드사이너 GPG 프로그램 무결성 확인하는 방법에 대해 알아보겠습니다. 웹에서 다운로드 받으면 확인해야 할 사항이 있습니다. 이 프로그램이 정말 개발자가 만들어 올린 프로그램인지 여부를 확인해야 합니다. 해커나 악의적인 의도를 가지고 프로그램을 변조해서 올린 후 다운로드 받게 하는 공격이 있기 때문에 이런 것이 중요해졌습니다. 개발자의 개인키로 서명한 프로그램을 공개키로 확인하는 방법 바로 GPG 를 이용하여 프로그램 무결성을 확인하는 방법을 알아보겠습니다.
시드사이너 GPG | 필요한 프로그램 다운로드하기
먼저 시드사이너 공식 홈페이지에서 필요한 프로그램을 다운로드합니다.
https://github.com/SeedSigner/seedsigner/releases/
공식 홈페이지에서 아래쪽의 Assets에서 필요한 파일을 다운로드 합니다.
상단의 두개 파일 txt와 sig 파일이 파일의 무결성을 검증하는 파일이고 아래쪽의 img 파일이 이미지 파일로 이 이미지 파일을 추출하여 메모리카드에 DD 혹은 Balena Etcher와 같은 프로그램으로 이미지를 복제합니다.
SeedSigner 폴더를 만들어 아래와 같이 모아둡니다.
GPG 무결성 검증 | Homebrew 설치
먼저 img 파일을 설치하기 전에 이 파일이 개발자가 직접 만든 제품인지 확인을 해보겠습니다.
먼저 맥에 Homebrew를 설치합니다. : https://github.com/Homebrew/brew/releases
다운로드 한 .pkg 파일을 실행하면 아래와 같은 메시지가 나오는 경우 CLT 설치를 해야 합니다.
iOS 개발자 등록 후 로그인 | Xcode 설치
iOS 개발자 등록 후 로그인하고 Xcode와 Command Line Tools for Xcode를 설치합니다.
그리고 Homebrew 프로그램을 설치하고(사실 이것을 설치하기 위해 Xcode와 CLT 프로그램을 설치한 것)
마지막으로 GPG프로그램을 설치한다.
이로서 시드사이너 무결성 검증을 위한 GPG sig 값 확인과 shasum 확인이 가능하다.
시드사이너 무결성 검증 (GPG, shasum)
Keybase.io/SeedSigner 의 키값과 비교하는 방법
아래의 명령어를 터미널에 입력합니다.
gpg --fetch-keys https://keybase.io/seedsigner/pgp_keys.asc
그럼 아래와 같이 imported : 1 혹은 unchaged : 1 이라고 나오면 정상입니다.
위의 정상 확인을 확인한 후에 아래의 명령어를 실행합니다.
gpg --verify seedsigner.0.7.*.sha256.txt.sig
이 입력의 결과값을 Keybase.io/SeedSigner 사이트의 키값 16자리와 비교합니다.
위와 같이 일치하면 프로그램위변조는 없는 것입니다.
shasum 확인 방법
터미널에서 아래의 명령어를 입력합니다.
shasum -a 256 --ignore-missing --check seedsigner.0.7.*.sha256.txt
아래와 같이 OK 가 나오면 해쉬값도 일치하는 것을 확인하고, 프로그램 위변조가 없는 것으로 확인할 수 있습니다.
암호화폐 지갑 니모닉 한글로 만들기 wordlist 2048개
비트코인 수수료 할인 | 코인원 회원가입 혜택 2가지