Vérification du programme

Pour les utilisateurs Mac

Confirmation du hash

1. Vous devrez télécharger https://gpgtools.org/ afin de compléter la vérification de la signature PGP.

2. Ouvrez https://raw.githubusercontent.com/Coldcard/firmware/master/releases/signatures.txt pour afficher le contenu.

3. Ouvrez le terminal, accédez au répertoire où vous avez enregistré le programme et utilisez la commande shasum -a256 20...-coldcard.dfu et appuyez sur la touche 'Enter' de votre clavier.

   • Le fichier devrait se trouver dans votre dossier de téléchargements, tapez cd downloads dans le terminal afin d'accéder à ce répertoire.

   • Le composant 20...-coldcard.dfu est le nom de la dernière mise à niveau, assurez-vous d'entrer le nom du fichier dans son intégralité.

4. Comparez le résultat dans votre terminal avec la ligne de texte dans le fichier signatures.txt à côté de la version du firmware que vous avez enregistrée (il devrait s'agir de celle qui se trouve directement sous la ligne ChangeLog.md).

Vérification de la signature PGP

1. Enregistrez le fichier signatures.txt au même emplacement que le nouveau fichier du programme.

   • Cela devrait être dans le dossier 'Téléchargements'.

   • Pour l'enregistrer, faites un clic droit sur la page et sélectionnez 'Save page as'

2. Enregistrez la public key 4589779ADFC14F3327534EA8A3A31BAD5A2A5B10 en tant que fichier.txt au même emplacement que les fichiers du programme et signatures.txt.

   • Pour l'enregistrer, faites un clic droit sur la page et sélectionnez 'Save page as'.

3. Ouvrez GPG Keychain.

4. Cliquez sur le bouton "Import" et accédez au fichier enregistré à l'étape 2 appelé lookup. Sélectionnez le fichier et cliquez sur Open. Un message pop-up devrait apparaître indiquant "Import Successful".

   • Vous aurez l'empreinte digitale de Peter D. Gray

5. Ouvrez le Terminal et assurez-vous que vous êtes dans le bon répertoire en tapant cd downloads .

6. Tapez gpg --verify signatures.txt dans le Terminal.

7. Le sortant affiché dans le Terminal devrait inclure Good signature from...ainsi que la clé RSA suivante : 4589 779A DFC1 4F33 2753 4EA8 A3A3 1BAD 5A2A 5B10

Pour les utilisateurs Linux

Confirmation du hash

1. Ouvrez signatures.txt pour afficher son contenu.

2. Utilisez la ligne de commande pour accéder au répertoire dans lequel vous avez enregistré le programme et entrez la commande sha256sum 20...-coldcard.dfu.

   • La composante20...-coldcard.dfu est le nom de la version du programme la plus récente. Assurez-vous de tapez le nom du fichier en entier.

3. Comparez le résultat dans le Terminal avec la ligne de texte dans le fichier signatures.txt à côté de la version du programme que vous avez sauvegardé (ce devrait être celui qui se trouve directement sous la ligne ChangeLog.md).

   Le hash est validé si les valeurs retournées sont identiques.

Vérification de la signature PGP

1. Enregistrez le fichier signatures.txt au même emplacement que le nouveau fichier du programme.

2. En ligne de commande, tapez curl "https://keyserver.ubuntu.com/pks/lookup?op=get&search=0xA3A31BAD5A2A5B10" | gpg --import pour importer la clé publique.

3. Ensuite, entrez gpg --verify signatures.txt pour vérifier la signature du fichier versus son contenu.

4. Le sortant de cette commande devrait inclure : Good signature from....

Pour les utilisateurs Windows

Ces instructions utilisent Kleopatra, qui fait partie de Gpg4win (GNU Privacy Guard for Windows). Vous n'avez besoin que des composants GnuPG Privacy Guard et Kleopatra pour vérifier la signature PGP.

Confirmation du hash

1. Ouvrez signatures.txt pour afficher son contenu.

2. Ouvrez Command Prompt et tapez certutil -hashfile C:\..\20...-coldcard.dfu SHA256, oùC:\..\20...-coldcard.dfu est le chemin d'accès complet au fichier enregistré du programme.

   • La composante20...-coldcard.dfu est le nom de la version du programme la plus récente. Assurez-vous de tapez le nom du fichier en entier.

3. Comparez les valeurs de sortie dans Command Prompt avec la ligne de texte dans le fichier signatures.txt à côté de la version du programme que vous avez enregistrée.

Vérification de la signature PGP

1. Enregistrez le texte dans signatures.txt avec .asc comme extension de fichier au même emplacement où vous avez enregistré le fichier du programme. N'enregistrez pas le fichier en .txt, Kleopatra ne le reconnaîtra pas.

2. Enregistrez la clé publique 4589779ADFC14F3327534EA8A3A31BAD5A2A5B10 en tant que fichier.asc au même emplacement que les fichiers du programme et de signatures.asc.

3. Ouvrez un navigateur et accédez à keybase.io/DocHex. Cliquez sur le texte à côté de l'icône de clé pour ouvrir la fenêtre de clé publique. Vous aurez besoin de cette fenêtre pour une étape ultérieure.

4. Ouvrez Kleopatra et cliquez sur Import....

5. Naviguez jusqu'au fichier.asc et ouvrez-le.

6. Il vous sera demandé de vérifier l'empreinte digitale du fichier et avec des options suggérées. La fenêtre de clé publique Keybase est le site Web de confiance. Cliquez sur Yes.

7. Une fenêtre Certify Certificate affichera l'empreinte digitale du fichier, votre certification et le propriétaire de l'empreinte digitale - dans ce cas-ci, Peter D. Gray. Redimensionnez ou repositionnez la fenêtre Certify Certificate et la fenêtre du navigateur ouverte à l'étape 3 afin que vous puissiez les voir toutes les deux en même temps.

8. Assurez-vous que les empreintes digitales dans chaque fenêtre correspondent et cliquez sur Certify. Si vous avez une phrase secrète sur votre certificat, il vous sera demandé de la saisir. Un pop-up devrait apparaître indiquant "Certification successful". Cliquez sur Ok.

9. Cliquez sur Decrypt/Verify... et ouvrez signatures.asc.

10. Kleopatra vérifiera la signature. Vous pouvez enregistrer ou supprimer le fichier généré par Kleopatra, il n'est pas nécessaire.