-> Verificar software de macOS en Terminal

Introducción

Verificar una aplicación antes de su instalación es un paso de seguridad fundamental. Verificar una aplicación de billetera de Bitcoin ES CAPITAL y es la única forma que tenemos de hacer una instalación con garantías y de forma consciente.
Más sobre por qué verificar y qué tener en cuenta cuando lo hagas, en el guía general "A01 VERIFICAR SOFTWARE"

Verificar en el terminal de macOS

En esta ocasión vamos a utilizar el terminal para verificar el software que instalamos en nuestro macOS.
Aplicación terminal
¿Cómo abrir el terminal?
Haz click en el icono de aplicaciones y busca la carpeta "Utilities". Dentro encontrarás la aplicación "Terminal".
Aplicaciones > Carpeta utilities > Terminal
También puedes acceder al terminal desde Spotlight. Para abrirlo pulsa la tecla Command + barra espaciadora y teclea terminal.
Buscador Spotlight
Ahora, vamos a proceder a verificar dos carteras de Bitcoin:
Como se explica en la guía general de VERIFICAR SOFTWARE, a la hora de verificar podemos encontrar firmas aplicadas sobre 2 tipos de archivos. Por ello, vamos a ver ambas posibilidades con:
    Liana wallet y el sistema de firmas aplicadas sobre ejecutable
    Sparrow wallet y el sistema de firmas aplicadas sobre documento de hashes

Liana Wallet - firma sobre ejecutable

Descargar ejecutable y firma

Accede a su pagina web: https://wizardsardine.com/liana/ y pulsa en "Download Liana" y haz click para acceder a su repositorio de Github para descargar los archivos necesarios para instalar y verificar el software de Liana.
Una vez en la pagina de github, baja hasta que veas la pestaña "Assets" y descarga los dos archivos que ves en la imagen de abajo.
Para cada archivo ejecutable disponible en la página de Releases, hay un archivo .asc adjunto con el mismo nombre. Este es una firma PGP realizada con la clave de Antoine Poinsot de fingerprint:
590B7292695AFFA5B672CBB2E13FC145CD3F4304

Localizar e importar clave pública

Esta clave está disponible en otros lugares para su verificación cruzada, como en su perfil de Twitter y Github, y la podemos descargar de aquí o aquí (recuerda guardar el archivo en la carpeta Descargas).
Ahora vamos a importar la clave de Antoine Poinsot en un nuestro llavero PGP.
Abrimos Terminal, tecleamos cd Descargas y le damos a enter. Luego tecleamos el comando:
gpg --import + el nombre del archivo de la clave pública
(el nombre varía según el archivo que descargues. Verifícalo en las descargas)
Si escribes en Terminal gpg --show-keys + el archivo, que usaste para incluir la key del desarrollador, obtenemos su email y fingerprint.
La cual coincide con la que comparte en su Twitter:
Pudiera ser que el desarrollador en vez de compartir un archivo comparta su clave de esta manera:
¿Cómo lo haríamos?
Copiar el texto y pegarlo en un editor de textos (textedit en MacOS) y luego guardarlo en Descargas.
Por último, en terminal escribe "gpg --import" + el nombre del archivo. Et voilá:

Verificar

Una vez incluida su clave de PGP de Antoine, vas a verificar el software de Liana. Como vimos antes, habíamos descargado dos archivos, uno terminado en tar.gz (donde está el archivo ejecutable) y otro con el mismo nombre pero terminado en .asc. Éste último es el archivo con la firma que ha hecho el desarrollador sobre el ejecutable.
En Terminal, aplica el comando gpg --verify + el nombre del archivo. En este caso liana-3.0-x86_64-apple-darwin.tar.gz.asc
Ahí puedes ver que el ejecutable fue firmado por el desarrollador:
Good signature from "Antoine Poinsot"
Compara y verifica el fingerprint y email asociado a Antoine Poinsot.
Puedes observar que aparece el siguiente mensaje:
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Esto solo significa que no has marcado explícitamente la clave pública como confiable en tu llavero PGP. Pero si has hecho comprobado la vericidad de su clave pública cruzando datos de diferentes fuentes, puedes estar tranquilo.
Si todo ha ido bien, ya puedes instalar Liana sin problemas. Solo tienes que descomprimir el archivo liana-3.0-x86_64-apple-darwin.tar.gz y hacer doble click en "Liana-gui"
Que disfrutes testeando tu Liana verificada.

Sparrow wallet - firma sobre hashes

Descargar ejecutable, hashes y firma

Accede a sparrowwallet.com y ve a la parte de Downloads. Desde ahí descarga la opción de ejecutable que corresponda para tu macOS:
    si es un modelo actual, será la versión M1/M2
    y si es un modelo mas antiguo, la versión será Intel
Por último, descarga los dos archivos que ves mas abajo, uno terminado en .txt (el archivo de hashes) y otro terminado en txt.asc (la firma sobre el anterior).
Pagina Web de Sparrow Wallet
Nota: es fundamental que los 3 archivos que descargues se guarden en la misma carpeta. Para asegurarnos de ello, guardaremos siempre los archivos en la carpeta “Descargas”.

Localizar e importar clave pública

Una vez hecho, en la misma página, ve bajando hasta ver “Verifying the Release
Instrucciones para verificar Sparrow Wallet
Siguiendo las indicaciones en la web, en Terminal escribe:
“cd Descargas” y le das a la tecla Enter
Nota: Si tienes la configuración de tu MacOS en inglés será: “cd Downloads” y le das a Enter
Una vez hecho, ya estarás dentro de la carpeta de Descargas.
Dentro de la carpeta "Descargas"
Primero, importa las claves que firmaron esta versión de Sparrow. Para ello agregamos, en terminal, la firma del desarrollador Craig Raw. Copia este texto:
curl https://keybase.io/craigraw/pgp_keys.asc | gpg --import
Pégalo en terminal y le das a enter.
Incluyendo la firma del desarrollador

Verificar firma

El siguiente paso en Terminal es agregar este comando:
gpg --verify sparrow-1.8.1-manifest.txt.asc”
(*este comando cambiará con cada nuevo update. En la web de Sparrow vendrá siempre actualizado)
y le damos a enter.
Comprueba que la información obtenida en Terminal sea la misma que vemos en la pagina web de Sparrow Wallet. Si todo va bien, seguimos adelante.
Puedes observar que aparece el siguiente mensaje:
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Esto simplemente significa que no has marcado explícitamente la clave pública como confiable en su propia instancia de GPG. En este caso, es una buena práctica comparar la clave con otras fuentes, por ejemplo https://keybase.io/craigraw (haz clic en el enlace al lado del ícono de la clave para ver la clave pública completa). También dispones del Twitter del desarrollador (https://twitter.com/craigraw).
Verificamos que la clave GPG coincide con la incluida en el terminal

Verificar hashes

Por último, agrega esta línea en Terminal, correspondiente con MacOS, y dale a enter:
shasum --check sparrow-1.8.1-manifest.txt –ignore-missing”
Si obtienes en pantalla el mensaje "OK" es que todo ha salido bien.
Ahora puedes instalar la aplicación haciendo click en el archivo .dmg y arrastrarlo a la carpeta Aplicaciones, tal como puedes ver en la foto de abajo.
Una vez completados todos estos pasos, podrás estar seguro de la integridad de tu descarga y proceder a su instalación.