-> Verificar software en Windows con Kleopatra

Introducción

Más sobre por qué verificar y qué tener en cuenta cuando lo hagas, en el guía general "A01 VERIFICAR SOFTWARE"

Verificar en con Kleopatra o GPG4win

En Windows 10 GPG no viene instalado. Si abrimos una ventana de terminal en windows y escribimos:
gpg --version
Veremos que no lo reconoce. No lo tiene instalado y por lo tanto necesitamos un software para PGP.
GPG o GnuPG es una implementación de los estándares de OpenPGP
Para verificar aplicaciones de software en Windows instalaremos GnuPG y la interfaz gráfica de Kleopatra. Para ello instalaremos GPG4win.
web the GnuPG https://gnupg.org
Para instalar GPG4WIN iremos a la web de GnuPG, a la sección de Download.
Allí haremos scroll hasta la sección de GnuPG Binary Releases y buscaremos en la segunda línea "Windos GnuPG" y haremos clic para descargarlo e instalarlo.
Cuando lo hayamos hecho, a parte de tener la interfaz de Kleopatra accesible podremos comprobar en la línea de comando cómo sí que ahora se ha instalado GPG en Windows:
gpg --version
> gpg (GnuPG) 2.4.3
Ahora, vamos a proceder a verificar dos carteras de Bitcoin:
Como se explica en la guía general de VERIFICAR SOFTWARE, a la hora de verificar podemos encontrar firmas aplicadas sobre 2 tipos de archivos. Por ello, vamos a ver ambas posibilidades con:
    Liana wallet y el sistema de firmas aplicadas sobre ejecutable
    Sparrow wallet y el sistema de firmas aplicadas sobre documento de hashes

Liana Wallet - firma sobre ejecutable

Descargar ejecutable y firma

Accede a su pagina web: https://wizardsardine.com/liana/ y pulsa en "Download Liana" y haz click para acceder a su repositorio de Github para descargar los archivos necesarios para instalar y verificar el software de Liana.
Una vez en la pagina de github, baja hasta que veas la pestaña "Assets" y descarga los dos archivos que tienen "windows" en su título (5ª y 6ª línea).
Para cada archivo ejecutable disponible en la página de Releases, hay un archivo .asc adjunto con el mismo nombre. Este es una firma PGP realizada con la clave de Antoine Poinsot de fingerprint:
590B7292695AFFA5B672CBB2E13FC145CD3F4304
Nota: es fundamental que los archivos que descargues se guarden en la misma carpeta. Para asegurarnos de ello, guardaremos siempre los archivos en la carpeta “Descargas”.

Localizar e importar clave pública

Ahora vamos a importar la clave de Antoine Poinsot en un nuestro llavero PGP. Para ello abriremos Kleopatra y le daremos al botón superior derecho de "Certificados". Buscamos la carpeta "Descargas" donde habíamos guardado el archivo de la clave pública de Antoine, y lo añadimos dándole a abrir.
Entonces y de forma gráfica veremos como en pantalla se nos muestra que tenemos la clave pública de Antoine añadida. Y además, en la parte de la derecha podremos ver el el Long ID de su clave PGP.
El cual coincide con la que comparte en su Twitter y Github:
Fingerprint es el doble de grande que un Lond ID. El Long ID son los últimos 16 dígitos de un Fingerprint.

Verificar

Una vez incluida la clave de PGP de Antoine, vas a verificar el software de Liana. Como vimos antes, habíamos descargado dos archivos, uno terminado en tar.gz (donde está el archivo ejecutable) y otro con el mismo nombre pero terminado en .asc. Éste último es el archivo con la firma que ha hecho el desarrollador sobre el ejecutable.
Para verificar le daremos al botón que tenemos arriba a la izquierda con el título "Descifrar/Verificar" y seleccionamos el archivo de firma que empieza con "liana" y acaba en ".asc"
Si no vieras las extensiones, has de decirle a Windows que te las muestre. Puedes hacerlo desde cualquier ventana de explorador de archivos.
Cuando selecciones el archivo, Kleopatra verificará si la firma hecha sobre el ejecutable está hecha con una clave pública que tengas en tu llavero (de momento solo tenemos la de Antoine).
Si has seguido todos los pasos correctamente y todos los archivos se encuentran en la misma carpeta, el resultado que obtendrás será el siguiente:
Verificado <<liana-4.0.exe>> con <<liana-4.0.exe.asc>>: No se han podido verificar los datos
No te quedes con la parte en negrita. Si hiciste una verificación cruzada correcta de la clave pública que añadiste, esto no debería preocuparte. Lo importante es lo que dice antes de la negrita:
Verificado <<liana-4.0.exe>> con <<liana-4.0.exe.asc>>
Kleopatra ha conseguido verificar que esa firma pertenece a ese ejecutable. Lo que faltaría para que no saliera ese mensaje de falta de verificación sería que tu certificases la autenticidad de esa clave pública con una firma desde tu clave privada. Pero para eso has de crear un par de claves PGP (no es el foto de la explicación) y luego certificarla.
Si quisieras hacer esto último te animo a que busques cómo crear un par de claves PGP de forma segura.
Con la verificación hecha, solo te queda disfrutar testeando la aplicación Liana real, firmada por Antoine Poinsot.

Sparrow wallet - firma sobre hashes

Descargar ejecutable, hashes y firma

Accede a sparrowwallet.com y ve a la parte de Downloads. Desde ahí descarga la opción de ejecutable "Windows Installer (7+)
Después, descarga los dos archivos que ves mas abajo, uno terminado en .txt (el archivo de hashes) y otro terminado en txt.asc (la firma sobre el anterior).
Nota: es fundamental que los 3 archivos que descargues se guarden en la misma carpeta. Para asegurarnos de ello, guardaremos siempre los archivos en la carpeta “Descargas”.

Localizar e importar clave pública

Una vez hecho, en la misma página, ve bajando hasta ver “Verifying the Release”
Antes hemos añadido la clave pública de Antoine desde un archivo .gpg .asc o .txt que hemos descargado online. En Sparrow se nos presenta la oportunidad de añadirla de 2 formas alternativas:

1- Desde servidor de claves y línea de comando

Aprietas el botón de Windows y tecleas "cmd" y luego das enter. Así se te abrirá la línea de comando. Ahí copias la primera línea que te muestra la web de Sparrow:
curl https://keybase.io/craigraw/pgp_keys.asc | gpg --import
Con esto verás algo así:
Y después de esto, si revisas Kleopatra, ya te aparecerá la clave pública de Craig Raw (el desarrollador de Sparrow) . En el siguiente GIF puedes ver todo el proceso (Si se ve demasiado pequeño puedes abrirlo en otra ventana con botón derecho > Abrir imagen en otra pestaña):

2- Desde un archivo de texto

Este proceso es algo más largo pero sirve para entender la lógica de todo. Te animo a que lo practiques.
El proceso es así:
    Localizas el bloque de la clave pública que quieres añadir https://keybase.io/craigraw/pgp_keys.asc
    Copias todo su contenido a un archivo de texto de bloc de notas y lo guardas en la carpeta que gustes.
    Vas a Kleopatra y le das al botón "Importar" y buscas el archivo. Si no te aparece, dile al explorador que acepte todo tipo de archivos (abajo a la derecha, encima de Aceptar y Cancelar)
    Y listo, clave pública importada sin pasar por línea de comando.
En el siguiente GIF puedes ver todo el proceso (Si se ve demasiado pequeño puedes abrirlo en otra ventana con botón derecho > Abrir imagen en otra pestaña):
Una vez realizada la importación y viendo en pantalla el Long ID de Craig, lo podremos comparar con el que muestra en otras redes sociales como por ejemplo Twitter:

Verificar firma sobre hashes

Ahora vamos a verificar la firma "sparrow-1.8.1-manifest.txt.asc" que hemos decargado y que se ha realizado sobre un archivo de texto con los hashes.
Para ello le damos a "Descifrar/Verificar" en Kleopatra y localizamos el archivo "sparrow-1.8.1-manifest.txt.asc" y lo abrimos.
Si todo ha ido bien Kleopatra nos mostrará lo siguiente:
No te quedes con la parte en negrita. Si hiciste una verificación cruzada correcta de la clave pública que añadiste, esto no debería preocuparte. Lo importante es lo que dice antes de la negrita:
Verificado <<sparrow-1.8.1-manifest.txt>> con <<sparrow-1.8.1-manifest.txt.asc>>
Kleopatra ha conseguido verificar que esa firma pertenece a ese ejecutable. Más información sobre por qué aparece lo de "No se ha podido verificar los datos." en la sección superior sobre Liana.
Pero como esta firma NO se ha realizado sobre un ejecutable, todavía no hemos terminado. Falta contrastar el hash que aparece en el .txt que sí está firmado, con el ejecutable y ver si coincide.

Verificar hashes

El archivo "sparrow-1.8.1-manifest.txt" con los hashes se ve tal que así:
Marcado en azul el hash del archivo que nos interesa
Ahora vamos a realizar una operación de Hash del tipo SHA256 sobre el ejecutable. Más sobre por qué se utiliza un hash intermedio y no una firma sobre el ejecutable en la guía general A01 VERIFICAR SOFTWARE.
Para ello abriremos la carpeta donde tenemos los documentos y manteniendo SHIFT apretado haremos botón derecho sobre el espacio en blanco debajo de los archivos y le daremos a "Abrir la ventana de PowerShell aquí":
Se nos abrirá una ventana de PowerShell en ese directorio y ahí tendremos que poner lo siguiente:
CertUtil -hashfile Sparrow-1.8.1.exe SHA256
Esto practicará una operación de hash del tipo SHA256 sobre el ejecutable y deberemos comparar el resultado con lo que aparecía en el archivo de texto con los hashes.
Si concuerda, felicidades. Has verificado que el ejecutable tiene un hash que aparecía en un archivo de texto firmado por el desarrollador oficial. Ya puedes darle doble click al ".exe" e instalar Sparrow.