Verificar una aplicación antes de instalarla, es un paso de seguridad muy para todas las carteras de Bitcoin y es la única forma que tenemos para utilizar el archivo de instalación con garantías. Sabiendo que no ha sido comprometido.
En esta ocasión, para verificar el software que instalamos en nuestro macOS vamos a utilizar el Terminal.
Aplicación terminal
¿Cómo abrir el terminal?
Haz click en el icono de aplicaciones y busca la carpeta "Utilities". Dentro encontrarás la aplicación "Terminal".
Aplicaciones > Carpeta utilities > Terminal
También puedes acceder al terminal buscando desde Spotlight. Para abrirlo pulsa la tecla Command + la barra espaciadora a la vez y teclea terminal.
Buscador Spotlight
Ahora, vamos a proceder a verificar dos carteras de Bitcoin:
Hay diferencias a la hora de verificar, por eso vamos a ver ejemplos de cómo hacerlo en ambas.
Sparrow wallet
Accede a sparrowwallet.com y ve a la parte de Downloads. Desde ahí descarga la opción que corresponda al modelo de tu MacOS. Si es actual, será la versión M1/M2 y si es un modelo mas antiguo, la versión será Intel. Por último, descarga los dos archivos que ves mas abajo, uno terminado en .txt y otro terminado en txt.asc.
Pagina Web de Sparrow Wallet
Como nota importante, es fundamental que los 3 archivos que descargues se guarden en la misma carpeta. Para asegurarse de ello, siempre guarda los archivos en la carpeta “Descargas”.
Una vez hecho, en la misma página ,ve bajando hasta ver “Verifying the Release”
Instrucciones para verificar Sparrow Wallet
Siguiendo las indicaciones en la web, en Terminal escribe:
“cd Descargas” y le das a la tecla Enter
*Si tienes la configuración de tu MacOS en inglés será: “cd Downloads” y le das a Enter
Una vez hecho, ya estarás dentro de la carpeta de Descargas.
Dentro de la carpeta "Descargas"
Primero, importa las claves que firmaron esta versión de Sparrow. Para ello agregamos, en terminal, la firma del desarrollador Craig Raw. Copia este texto:
El siguiente paso en Terminal es agregar este comando:
“gpg --verify sparrow-1.8.1-manifest.txt.asc”
(*este comando cambiará con cada nuevo update. En la web de Sparrow vendrá siempre actualizado)
y le damos a enter.
Comprueba que la información obtenida en Terminal sea la misma que vemos en la pagina web de Sparrow Wallet. Si todo va bien, seguimos adelante.
Puedes observar que aparece el siguiente mensaje:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Esto simplemente significa que no has marcado explícitamente la clave pública como confiable en su propia instancia de GPG. En este caso, es una buena práctica comparar la clave con otras fuentes, por ejemplo https://keybase.io/craigraw (haz clic en el enlace al lado del ícono de la clave para ver la clave pública completa). También dispones del Twitter del desarrollador (https://twitter.com/craigraw).
Verificamos que la clave GPG coincide con la incluida en el terminal
Por último, agrega esta línea en Terminal, correspondiente con MacOS, y dale a enter:
Si obtienes en pantalla el mensaje "OK" es que todo ha salido bien.
Ahora puedes instalar la aplicación haciendo click en el archivo .dmg y arrastrarlo a la carpeta Aplicaciones, tal como puedes ver en la foto de abajo.
Una vez completados todos estos pasos, podrás estar seguro de la integridad de tu descarga y podrás proceder a la instalación.
En el recuadro de MacOS y haz click para acceder a su repositorio de Github para descargar los archivos necesarios para instalar y verificar el software de Liana.
Una vez en la pagina hasta que veas la pestaña "Assets" y descarga los dos archivos que ves en la imagen de abajo.
Para cada archivo disponible en la página de Releases, hay un archivo .asc adjunto con el mismo nombre. Esta es una firma GPG realizada con la clave de Antoine Poinsot: 590B7292695AFFA5B672CBB2E13FC145CD3F4304. Esta clave está disponible en otros lugares para su verificación cruzada, como en su perfil de Twitter o su web personal. Se recomienda que verifiques la descarga con esta clave.
Vamos a incluir la clave de Antoine Poinsot en Terminal. Para ello descargamos el archivo con la clave del desarrollador desde su web: http://download.darosior.ninja/darosior.pub. Acuérdate siempre de guardar el archivo en la carpeta Descargas.
Abrimos Terminal, tecleamos "cd Descargas" y le damos a enter. Luego tecleamos el comando "gpg --import " + el nombre del archivo:
Si escribes en Terminal "gpg --show-keys" + el archivo, que usaste para incluir la key del desarrollador, obtenemos su email y fingerprint.
La cual coincide con la que comparte en su Twitter:
Pudiera ser que el desarrollador en vez de compartir un archivo comparta su clave de esta manera:
¿Cómo lo haríamos?
Copiar el texto y pegarlo en un editor de textos (textedit en MacOS) y luego guardarlo en Descargas.
Por último, en terminal escribe "gpg --import" + el nombre del archivo. Et voilá:
Tras este breve paréntesis y una vez incluida su clave de PGP de Antoine, vas a verificar el software de Liana. Como vimos antes, habíamos descargado dos archivos, uno terminado en tar.gz (donde está el archivo ejecutable) y otro con el mismo nombre terminado en .asc. Éste último es el archivo con la firma que ha hecho el desarrollador sobre el ejecutable.
En Terminal, aplica el comando "gpg --verify" + el archivo "liana-3.0-x86_64-apple-darwin.tar.gz":
Ahí puedes ver que el ejecutable fue firmado por el desarrollador. Compara y verifica el fingerprint y email asociado a Antoine Poinsot.
Ya puedes instalar Liana sin problemas. Solo tienes que descomprimir el archivo liana-3.0-x86_64-apple-darwin.tar.gz y hacer doble click en "Liana-gui"