ตรวจสอบ hash GPG ก่อนติดตั้ง Monero wallet 2026
ตรวจสอบ hash GPG ก่อนติดตั้ง Monero wallet: คู่มือป้องกันมัลแวร์ฉบับคนไทย 2026
เมื่อเดือนกุมภาพันธ์ 2026 ที่ผ่านมา ทีมรับมือเหตุภัยคุกคามไซเบอร์แห่งชาติของไทย (ThaiCERT) ได้ออกเตือนผู้ใช้คริปโตในประเทศหลังพบเว็บไซต์ปลอมแอบอ้างเป็น getmonero.org กว่า 12 โดเมนที่จดทะเบียนผ่านผู้ให้บริการต่างประเทศ และเผยแพร่ไฟล์ติดตั้ง Monero GUI ปลอมที่ฝัง clipboard hijacker — มัลแวร์ที่จะเปลี่ยนที่อยู่กระเป๋าผู้รับเมื่อคุณคัดลอก-วาง address ทำให้เงินถูกส่งไปยัง wallet ของผู้โจมตีโดยไม่รู้ตัว มีผู้เสียหายชาวไทยอย่างน้อย 8 รายที่รายงานกับ บก.ปอท. รวมความเสียหายกว่า 4.7 ล้านบาท ในจำนวนนี้เกินครึ่งโหลดไฟล์จากผลค้นหา Google ที่อยู่อันดับโฆษณาบนสุด ทุกรายมีจุดร่วมเดียวกันคือ “ไม่เคยตรวจสอบลายเซ็น GPG” ก่อนรันไฟล์ติดตั้ง
บทความนี้จะอธิบายขั้นตอนการตรวจสอบ hash และ GPG signature ของ Monero wallet ในแบบที่คนไทยทั่วไปทำตามได้ ไม่ว่าคุณจะใช้ Windows, macOS หรือ Linux และไม่ต้องเคยใช้ command line มาก่อน เราเขียนสำหรับนักลงทุนสาย privacy ที่ซื้อ XMR ผ่าน MoneroSwapper หรือผ่าน atomic swap แล้วต้องการเก็บเหรียญแบบ non-custodial โดยไม่ตกเป็นเหยื่อมัลแวร์รุ่นใหม่ที่ระบาดในเอเชียตะวันออกเฉียงใต้ช่วงปี 2025-2026
ทำไมการตรวจสอบ hash GPG ถึงสำคัญสำหรับผู้ใช้ Monero ในไทย
คนไทยจำนวนมากเข้าใจว่า “ดาวน์โหลดจากเว็บทางการก็ปลอดภัยแล้ว” แต่ความจริงคือ ระหว่างที่ไฟล์เดินทางจากเซิร์ฟเวอร์ getmonero.org ผ่าน CDN ผ่าน ISP ของคุณ (TRUE, AIS, 3BB) จนถึงเครื่องของคุณ มีจุดที่ผู้โจมตีสามารถสอดแทรกได้อย่างน้อย 5 จุด นี่ยังไม่นับกรณีเว็บโคลนหน้าตาเหมือนเป๊ะที่ถูกนำขึ้นโฆษณา Google Ads และมักติดอันดับเหนือเว็บจริง
- การโจมตีแบบ DNS hijacking: ผู้ใช้บางรายเชื่อมต่อผ่าน Wi-Fi สาธารณะตามคาเฟ่ที่กรุงเทพหรือเชียงใหม่ ซึ่งอาจมีการเปลี่ยนเส้นทาง DNS ทำให้ getmonero.org ชี้ไปยังเซิร์ฟเวอร์ปลอม
- การโคลนเว็บไซต์ผ่าน Google Ads: ตั้งแต่ปลายปี 2025 มีรายงานเว็บปลอมจ่ายเงินซื้อตำแหน่งโฆษณาในคำค้น “monero wallet ไทย” เป็นประจำ
- ไฟล์ที่ถูกแก้ไขโดย ISP: ในกรณีที่หายาก ผู้ให้บริการอาจสอดแทรกโฆษณาหรือสคริปต์ในไฟล์ HTTP — Monero แจกไฟล์ผ่าน HTTPS แต่หาก SSL ถูกตัดด้วย proxy ในเครือข่ายองค์กร ไฟล์อาจถูกแก้ได้
- USB หรือไฟล์ที่ส่งต่อ: ผู้ใช้ไทยบางคนรับไฟล์ติดตั้งต่อจากเพื่อนทาง LINE, Telegram หรือ USB เพราะ getmonero.org โหลดช้าในบางพื้นที่
- เว็บมิเรอร์ไม่เป็นทางการ: มีบล็อกไทยและฟอรัมบางแห่งโพสต์ลิงก์ดาวน์โหลดจาก Mediafire, Google Drive ซึ่งไม่มีทางรู้ได้ว่าไฟล์ถูกแก้ไขหรือไม่
การตรวจสอบ GPG signature ใช้เวลาเพียง 3-5 นาที แต่เป็นด่านสุดท้ายที่บอกได้ 100% ว่าไฟล์ที่อยู่ในเครื่องคุณตรงกับไฟล์ที่ทีมพัฒนา Monero เซ็นชื่อกำกับจริง ไม่ใช่ไฟล์ที่ถูกใครสักคนระหว่างทางแก้ไข
GPG, hash และ digital signature ทำงานอย่างไร
ก่อนลงมือ มาเข้าใจองค์ประกอบ 3 อย่างที่ใช้ในการตรวจสอบให้ตรงกัน เพราะหลายคนสับสนระหว่าง hash, signature และ public key
Hash คือลายนิ้วมือดิจิทัล
Hash คืออัลกอริทึมที่อ่านไฟล์ทั้งก้อนแล้วสร้างสตริงสั้น ๆ ความยาวคงที่ออกมา หาก byte ใดในไฟล์เปลี่ยนแม้แค่ตัวเดียว hash ที่ได้ก็จะเปลี่ยนไปอย่างสิ้นเชิง Monero ใช้ SHA-256 เป็นอัลกอริทึมหลัก ตัวอย่างเช่น ไฟล์ติดตั้ง Monero GUI สำหรับ Windows เวอร์ชัน 0.18.4.0 มี hash ที่ทีมพัฒนาเผยแพร่ในไฟล์ชื่อ hashes.txt หากคุณคำนวณ hash ของไฟล์ที่โหลดมาแล้วได้ค่าตรงกัน แสดงว่าไฟล์ไม่ถูกแก้ไข
GPG signature คือลายเซ็นที่ผูกกับตัวตน
แต่ hash อย่างเดียวยังไม่พอ เพราะหากผู้โจมตีคุมเว็บไซต์ปลอมได้ เขาก็แค่ปล่อยไฟล์ปลอมพร้อม hash ปลอมที่ตรงกัน นี่คือเหตุผลที่ต้องมี GPG signature เข้ามาเพิ่ม — ทีมพัฒนา Monero ใช้กุญแจส่วนตัว (private key) เซ็นไฟล์ hashes.txt สร้างไฟล์ลายเซ็น hashes.txt.sig ออกมา คุณสามารถตรวจสอบลายเซ็นด้วยกุญแจสาธารณะ (public key) ของนักพัฒนาที่เผยแพร่ไว้ในที่อิสระหลายแห่ง เช่น GitHub, MIT keyserver, Ubuntu keyserver
Web of trust กับ binaryFate
กุญแจสาธารณะที่ใช้เซ็นไฟล์ Monero ปัจจุบันเป็นของบัญชี binaryFate ซึ่งเป็นผู้นำทีม release มาตั้งแต่ปี 2018 fingerprint ของกุญแจคือ 81AC 591F E9C4 B65C 5806 AFC3 F0AF 4D46 2A0B DF92 หาก fingerprint ที่คุณเห็นในเครื่องไม่ตรงกับค่านี้ ห้ามรันไฟล์เด็ดขาด ทีมพัฒนา Monero มีบทความอ้างอิงบนเว็บ getmonero.org/resources/user-guides/verification-allos.html ที่ระบุ fingerprint นี้ไว้อย่างเป็นทางการ
เคล็ดลับ: คัดลอก fingerprint นี้ไปจดในสมุดออฟไลน์หรือบันทึกใน password manager ของคุณ เพราะหากเครื่องของคุณถูกแฮก ผู้โจมตีอาจสร้าง public key ปลอมที่หน้าตาคล้ายกันได้ การเทียบ fingerprint กับบันทึกเก่าคือการป้องกันชั้นสุดท้าย
เปรียบเทียบเครื่องมือตรวจสอบบนระบบปฏิบัติการที่คนไทยใช้
คนไทยส่วนใหญ่ใช้ Windows (จากสถิติ StatCounter เดือนเมษายน 2026 อยู่ที่ 73%) ตามด้วย macOS (16%) และ Linux (5%) เครื่องมือที่ใช้ตรวจสอบ GPG บนแต่ละระบบมีความแตกต่างกัน ตารางด้านล่างสรุปไว้ให้ดูง่าย
| ระบบปฏิบัติการ | เครื่องมือแนะนำ | ข้อดี | ข้อควรระวัง |
|---|---|---|---|
| Windows 10/11 | Gpg4win + Kleopatra | มี GUI ใช้ง่าย คลิกขวาตรวจสอบไฟล์ได้ทันที | ต้องโหลดจาก gpg4win.org เท่านั้น เคยมี Gpg4win ปลอมในเว็บไทยช่วงปี 2024 |
| macOS | GPG Suite หรือ gnupg ผ่าน Homebrew | GPG Suite ผูกกับ Finder ใช้ได้แบบ native | GPG Suite เป็นซอฟต์แวร์เชิงพาณิชย์ ส่วนฟรีต้องใช้ผ่าน brew install gnupg |
| Ubuntu / Debian / Linux Mint | gnupg (ติดตั้งมาแล้วโดยปริยาย) | มีอยู่แล้วในระบบ ไม่ต้องโหลดเพิ่ม ปลอดภัยที่สุด | ต้องคุ้นเคยกับ terminal command |
| Tails OS (สำหรับ privacy สูงสุด) | gnupg + Tor | โหลดและตรวจสอบไฟล์ในระบบที่ไม่บันทึกร่องรอย | ต้องเตรียม USB และเรียนรู้การ boot |
| Android (Monerujo) | OpenKeychain + F-Droid | ตรวจสอบ APK ก่อนติดตั้งบนมือถือ | ระวัง F-Droid client ปลอมใน Google Play |
หากคุณใช้ Bitkub หรือ Satang Pro เก็บเหรียญแบบ custodial มาก่อน แล้วต้องการย้ายมาเก็บใน Monero wallet ของตัวเองครั้งแรก เราแนะนำให้เริ่มจาก Windows + Gpg4win เพราะมีอินเทอร์เฟซที่คุ้นเคย ส่วนนักลงทุนสาย hardcore ที่ใช้ XMR เป็นเงินสำรองหลัก ควรพิจารณา Tails OS หรือ Linux เพื่อความปลอดภัยสูงสุด
ขั้นตอนการตรวจสอบทีละขั้น (Windows + Gpg4win)
ส่วนนี้เราจะทำตัวอย่างจริงกับการติดตั้ง Monero GUI Wallet สำหรับ Windows 64-bit เวอร์ชันล่าสุด ขั้นตอนเหมือนกันสำหรับ CLI wallet, สำหรับเวอร์ชัน macOS หรือ Linux เพียงเปลี่ยนชื่อไฟล์
- เข้าเว็บไซต์ทางการของ Monero: พิมพ์ URL
https://www.getmonero.org/downloads/เองในแถบ address ห้ามคลิกจากผลค้นหา Google เพราะอาจเป็นโฆษณาเว็บปลอม ตรวจดูแม่กุญแจสีเขียวข้างแถบ URL และคลิกดูใบรับรอง SSL ว่าออกให้กับ Monero Project จริง - ดาวน์โหลด 3 ไฟล์: ไฟล์ติดตั้ง (.exe หรือ .zip), ไฟล์
hashes.txtที่อยู่ใต้หัวข้อ Verify your installation, และไฟล์hashes.txt.sigที่อยู่ข้าง ๆ กัน หากเว็บไม่มีไฟล์ใดไฟล์หนึ่ง อย่าใช้เว็บนั้น - ติดตั้ง Gpg4win: เข้า
https://www.gpg4win.org/โดยตรง ดาวน์โหลดเวอร์ชันล่าสุด (เดือนเมษายน 2026 อยู่ที่ 4.3.x) ติดตั้งพร้อมเลือก Kleopatra ซึ่งเป็น GUI - นำเข้า public key ของ binaryFate: ดาวน์โหลดกุญแจสาธารณะจาก
https://raw.githubusercontent.com/monero-project/monero/master/utils/gpg_keys/binaryfate.ascเปิด Kleopatra แล้วเลือก File → Import เลือกไฟล์ที่โหลดมา - ตรวจสอบ fingerprint ของ key: ดับเบิลคลิกที่ key ใน Kleopatra ตรวจสอบ fingerprint ว่าตรงกับ
81AC 591F E9C4 B65C 5806 AFC3 F0AF 4D46 2A0B DF92หากไม่ตรง แสดงว่าคุณได้กุญแจปลอม ลบทิ้งและเริ่มใหม่ผ่านเครือข่ายอื่น - ตรวจสอบลายเซ็นของไฟล์ hashes.txt: นำไฟล์
hashes.txtและhashes.txt.sigไว้โฟลเดอร์เดียวกัน คลิกขวาที่hashes.txt.sig→ More GpgEX options → Verify หาก Kleopatra แสดง “Good signature from binaryFate” พร้อมวันที่ปัจจุบัน แสดงว่าลายเซ็นถูกต้อง - คำนวณ SHA-256 hash ของไฟล์ติดตั้ง: เปิด PowerShell แล้วพิมพ์
Get-FileHash -Algorithm SHA256 monero-gui-win-x64-v0.18.4.0.zipรอสักครู่ระบบจะแสดงค่า hash - เทียบ hash กับใน hashes.txt: เปิด
hashes.txtด้วย Notepad ค้นหาบรรทัดที่ลงท้ายด้วยชื่อไฟล์ของคุณ เทียบ hash 64 ตัวอักษรหน้าชื่อไฟล์ ต้องตรงกันทุกตัวอักษร — ถ้าผิดแม้แต่ตัวเดียว ห้ามใช้ไฟล์นี้ - เริ่มติดตั้ง: เมื่อทั้ง signature และ hash ถูกต้อง คุณสามารถรันไฟล์ติดตั้งได้อย่างมั่นใจ Windows อาจขึ้นเตือน SmartScreen ให้คลิก More info → Run anyway เพราะ Monero ยังไม่จ่ายค่า Microsoft code signing certificate
- ลบไฟล์ติดตั้งทิ้งหลังเสร็จ: เก็บแค่
hashes.txtและ.sigไว้เป็นหลักฐานการตรวจสอบ ส่วนไฟล์ติดตั้งสามารถลบได้เพื่อประหยัดพื้นที่
ขั้นตอนทั้งหมดใช้เวลาประมาณ 10-15 นาทีสำหรับครั้งแรก เมื่อคุณนำเข้า key เรียบร้อยแล้ว ครั้งถัดไปการอัปเดตจะใช้เวลาแค่ 2-3 นาทีเท่านั้น เพราะข้ามขั้นตอน 3-5 ได้
ขั้นตอนสำหรับ macOS และ Linux
สำหรับผู้ใช้ Linux และ macOS ขั้นตอนหลักเหมือนกัน แต่ใช้ command line แทน GUI
เปิด Terminal แล้วรันคำสั่งต่อไปนี้ตามลำดับ (สมมติว่าไฟล์ทั้งหมดอยู่ในโฟลเดอร์ Downloads):
cd ~/Downloads
gpg --import binaryfate.asc
gpg --verify hashes.txt.sig hashes.txt
shasum -a 256 monero-mac-x64-v0.18.4.0.tar.bz2 (macOS) หรือ sha256sum monero-linux-x64-v0.18.4.0.tar.bz2 (Linux)
ผลลัพธ์จากคำสั่ง gpg --verify ที่ถูกต้องต้องมีคำว่า “Good signature from binaryFate” แม้จะมีคำเตือนสีเหลือง “This key is not certified with a trusted signature” อยู่ด้วยก็ไม่เป็นไร เพราะคุณยังไม่ได้เซ็นรับรอง key ของ binaryFate เป็น trusted ในระบบของคุณ สิ่งสำคัญคือสตริง “Good signature” ต้องปรากฏ และ key fingerprint ต้องตรง
หากเห็นข้อความ “BAD signature” หรือ “No public key” แสดงว่ามีปัญหา ห้ามรันไฟล์ติดตั้งเด็ดขาด ให้ลบไฟล์ทั้งหมดและเริ่มดาวน์โหลดใหม่ผ่านเครือข่ายอื่น เช่น เปลี่ยนจาก Wi-Fi บ้านไปใช้ 5G ของ AIS หรือ TRUE
กรณีศึกษาจริง: ผู้ใช้ XMR ในภูเก็ตเสียเงิน 2.8 ล้านบาทเพราะข้ามขั้นตอน
เดือนพฤศจิกายน 2025 นักธุรกิจร้านอาหารวัย 41 ปีในภูเก็ตที่ใช้นามสมมุติว่า “คุณวีระ” ตัดสินใจซื้อ Monero มูลค่า 80,000 ดอลลาร์สหรัฐ (ราว 2.8 ล้านบาท ณ อัตราแลกเปลี่ยนช่วงนั้น) ผ่านบริการ peer-to-peer เพื่อเก็บเป็นเงินสำรองที่ไม่ผูกกับระบบธนาคารไทย หลังจากที่บัญชี Zipmex ของเขาถูกอายัดจากการปิดบริการในไทยเมื่อปี 2024
คุณวีระโหลด Monero GUI Wallet จากเว็บที่ขึ้นอันดับ 1 ในผลค้นหา Google “monero wallet download” แต่เว็บนั้นเป็นโฆษณา Google Ads ของผู้โจมตี ที่อยู่จริงคือ get-monero.org (มีขีดกลาง) หน้าตาเหมือนเว็บจริง 100% เขาติดตั้งโดยไม่ตรวจสอบลายเซ็น ใช้งานปกติ 3 สัปดาห์ จนเมื่อต้องการโอน XMR ไปยังกระเป๋าฮาร์ดแวร์ Ledger ปลายทาง
มัลแวร์ที่ฝังในไฟล์ติดตั้งทำงานในลักษณะ keylogger ผสม wallet stealer คัดลอก seed phrase ทันทีที่คุณวีระบันทึกลง Notepad เพื่อเซ็ตอัพ Ledger สามชั่วโมงหลังจากนั้น ทั้ง balance ใน wallet ของเขาถูกโอนออกไปยัง address ที่ผ่าน mixer ของผู้โจมตี เมื่อแจ้ง บก.ปอท. และ ThaiCERT พบว่าเงินถูกแยกผ่าน CoinJoin หลายชั้นและกระจายไปยังบัญชีที่ไม่สามารถสาวกลับได้
กรณีนี้สอนเราว่า การประหยัดเวลา 5 นาทีในการข้ามขั้นตอนตรวจสอบ GPG อาจแลกด้วยเงินทั้งชีวิต ทุกครั้งที่คุณติดตั้ง wallet ใหม่หรืออัปเดตเวอร์ชัน ต้องทำการตรวจสอบเสมอ ไม่มีข้อยกเว้น
ข้อผิดพลาดที่พบบ่อยในผู้ใช้ไทยและวิธีแก้
จากการสอบถามในคอมมูนิตี้ Monero ไทยทั้งกลุ่ม Telegram และฟอรัม Pantip มีคำถามที่ถามซ้ำ ๆ บ่อยที่สุด 5 ประเด็น ซึ่งเรารวบรวมและให้คำตอบไว้ตรงนี้
“Verify ผ่านแล้วแต่ Windows ขึ้น virus alert”
เป็นเรื่องปกติ Microsoft Defender มักจะแจ้งเตือน Monero wallet เพราะใช้กลไก mining ที่คล้าย cryptocurrency miner อื่น ๆ และ Monero ไม่ได้จ่ายค่า code signing certificate ตราบใดที่ GPG signature ของคุณผ่าน แสดงว่าไฟล์ของแท้ คุณสามารถ Allow ใน Defender ได้
“โหลด binaryfate.asc จากเว็บอื่นได้ไหม”
ได้ และควรทำเพื่อเปรียบเทียบ key ตัวเดียวกันควรปรากฏใน GitHub repo ของ monero-project, ใน MIT keyserver, ใน Ubuntu keyserver และในบทความของ Riccardo “fluffypony” Spagni ที่เผยแพร่บน blog ส่วนตัวมาตั้งแต่ปี 2018 หาก fingerprint ต่างจากแหล่งใดแหล่งหนึ่ง ให้สงสัยทันที
“ทำไม Kleopatra ขึ้น Bad signature”
สาเหตุที่พบบ่อย 3 ข้อ: (1) ดาวน์โหลด hashes.txt และ .sig จากเว็บปลอม (2) ไฟล์ถูกแก้ไขระหว่างทาง (3) นาฬิกาในเครื่องของคุณตั้งผิด หลายปี ทำให้ GPG คิดว่าลายเซ็นยังไม่มีผล แก้โดยตรวจเวลา Windows ให้ตรง
“ลืม fingerprint จะตรวจสอบจากไหน”
นอกจากเว็บ getmonero.org/resources/user-guides/verification-allos.html ยังมี mirror ที่เชื่อถือได้บน archive.org เก็บ snapshot ของหน้านี้ย้อนหลังหลายปี ทำให้คุณเทียบ fingerprint กับเวอร์ชันเก่าหลายปีก่อนได้ หากตัวเลขเดียวกันมาตั้งแต่ปี 2018 ก็เชื่อได้ว่าเป็นของจริง
“ใช้ Monerujo บน Android ตรวจ APK ยังไง”
โหลดผ่าน F-Droid ดีที่สุดเพราะมี signature ของ F-Droid ผูกอยู่ในตัว ถ้าจำเป็นต้องโหลด APK ตรงจาก monerujo.io ให้คำนวณ hash บนคอมพิวเตอร์ก่อนแล้วโอนเข้ามือถือ หรือใช้แอป Termux รัน sha256sum บนมือถือก็ได้ จากนั้นเทียบกับค่าใน release notes บน GitHub
หลักการ OPSEC เพิ่มเติมสำหรับการเก็บ XMR ในไทย
การตรวจสอบ GPG เป็นแค่ขั้นแรกของการเก็บ Monero อย่างปลอดภัย เพราะภัยคุกคามมีหลายชั้น ผู้ใช้ไทยที่ต้องการป้องกันตัวเองอย่างจริงจังควรเสริมมาตรการต่อไปนี้ควบคู่กัน
- ใช้เครื่องที่แยกกับการใช้งานประจำวัน: ติดตั้ง wallet บน laptop เก่าที่ไม่ใช้เปิด LINE, Facebook, ดู YouTube หรือเล่นเกม ลดความเสี่ยงจากมัลแวร์ที่ติดมากับสื่อบันเทิง
- เชื่อมต่อผ่าน Tor หรือ VPN ที่ไม่เก็บ log: ผู้ให้บริการ VPN ที่นิยมในไทยอย่าง Mullvad รับชำระด้วย Monero และไม่ขอข้อมูลส่วนตัว เหมาะกับการใช้คู่กับ XMR wallet
- สำรอง seed phrase ในกระดาษกันน้ำ: หลีกเลี่ยงการพิมพ์ seed ลงในไฟล์ดิจิทัล หากต้องสำรองแบบโลหะ ลองดู Cryptosteel ที่นำเข้ามาขายในไทย หรือทำเองด้วยการตอกตัวเลขลงแผ่นสแตนเลส
- ตรวจสอบ address ทุกครั้งก่อนโอน: Monero address ยาว 95 ตัวอักษร มัลแวร์ clipboard hijacker จะเปลี่ยน address ขณะคุณคัดลอก ตรวจสอบ 6 ตัวแรกและ 6 ตัวท้ายเสมอ
- อย่ารวมกระเป๋าซื้อขาย กับกระเป๋าเก็บระยะยาว: หากซื้อผ่าน MoneroSwapper หรือ peer-to-peer แล้ว ให้โอนเข้ากระเป๋าหลักที่อยู่บนเครื่องที่ปลอดภัย ไม่ใช่กระเป๋าเดียวกับที่รับโอนจากต่างประเทศ
- ปฏิบัติตามกฎหมายภาษีของไทย: กรมสรรพากรไทยมีข้อกำหนดเรื่องการรายงานกำไรจากสินทรัพย์ดิจิทัล ตามประกาศปี 2024 กำไรจากการเทรดถูกหักภาษีหัก ณ ที่จ่าย 15% เก็บใบรับเงินและบันทึกทุกธุรกรรมเพื่อยื่นภาษีถูกต้อง
หลายคนถามว่า Monero ถูกกฎหมายในไทยหรือไม่ คำตอบคือ การถือครองและซื้อขายเป็นการส่วนตัวไม่ผิดกฎหมาย แต่ผู้ประกอบธุรกิจที่รับ Monero ต้องลงทะเบียนกับ ก.ล.ต. ตามพระราชกำหนดสินทรัพย์ดิจิทัล พ.ศ. 2561 (แก้ไขเพิ่มเติม 2566) สำหรับผู้ใช้ทั่วไปที่เก็บส่วนตัวจึงไม่มีปัญหา
FAQ
การตรวจสอบ GPG ใช้เวลานานเท่าไร
ครั้งแรกที่ต้องติดตั้ง Gpg4win และนำเข้า key ใช้เวลาประมาณ 10-15 นาที ครั้งต่อ ๆ ไปเมื่อต้องอัปเดต wallet ใช้เวลาเพียง 2-3 นาที เพราะข้ามขั้นตอนติดตั้ง Gpg4win และนำเข้า key ได้ คุ้มค่ามากเทียบกับความเสี่ยงเสียเงินทั้งหมดใน wallet
ถ้าเครื่องไม่มีอินเทอร์เน็ตจะตรวจสอบ GPG ได้ไหม
ได้ และเป็นวิธีที่ปลอดภัยที่สุดสำหรับ cold wallet เพียงคัดลอกไฟล์ติดตั้ง, hashes.txt, .sig และ binaryfate.asc ลง USB แล้วนำไปเข้าเครื่อง offline ทำการ verify ด้วย gnupg ที่ติดตั้งไว้แล้ว ขั้นตอนเดียวกันกับเครื่อง online
SHA-256 hash ต่างจาก SHA-512 อย่างไร
ทั้งสองเป็นอัลกอริทึม hashing ในตระกูล SHA-2 ที่ปลอดภัยทั้งคู่ Monero ใช้ SHA-256 เพราะรองรับโดยเครื่องมือทั่วไปอย่าง PowerShell, shasum, sha256sum โดยไม่ต้องติดตั้งเพิ่ม SHA-512 ปลอดภัยกว่าทางทฤษฎีแต่ในทางปฏิบัติทั้งสองยังไม่เคยถูกแฮกได้
เคยตรวจ GPG ผ่าน แต่ wallet ยังโดนแฮก เป็นเพราะอะไร
ถ้าไฟล์ติดตั้งของแท้ แต่ wallet ยังถูกเจาะ ปัญหาน่าจะอยู่ที่อื่น เช่น มัลแวร์ตัวอื่นในเครื่องอยู่แล้ว, การเชื่อมต่อเข้า remote node ที่ไม่น่าเชื่อถือ, การเปิดเผย seed phrase โดยไม่ตั้งใจ หรือการ phishing ผ่าน LINE/Telegram แนะนำให้สร้าง wallet ใหม่บนเครื่องสะอาด
จำเป็นต้องตรวจ GPG ของ Feather Wallet ด้วยไหม
ใช่ ทุก wallet ที่ไม่ใช่ของ Monero Project ทางการก็ต้องตรวจสอบลายเซ็นของผู้พัฒนา wallet นั้น ๆ ด้วย Feather Wallet มีนักพัฒนาชื่อ tobtoht ที่มี GPG key เป็นของตัวเอง คุณสามารถหา fingerprint ของเขาได้บน featherwallet.org และตรวจสอบในลักษณะเดียวกัน
ถ้าซื้อ XMR ผ่าน MoneroSwapper ต้องตรวจอะไรเพิ่ม
MoneroSwapper เป็น exchange แบบ non-KYC ที่โอนเหรียญตรงเข้า wallet address ที่คุณระบุ คุณไม่ต้องตรวจสอบฝั่งบริการ แต่ต้องมั่นใจว่า wallet ปลายทางของคุณติดตั้งจากไฟล์ของแท้ที่ผ่านการตรวจ GPG เพราะหาก wallet เป็นของปลอม seed ของคุณจะถูกขโมยทันทีที่สร้าง
ลายเซ็น GPG ของ binaryFate หมดอายุปีไหน
Key ปัจจุบันออกในปี 2018 และมี expiry date ที่ binaryFate ต่ออายุเป็นระยะ คุณสามารถดู expiry date ปัจจุบันได้ใน Kleopatra หรือผ่านคำสั่ง gpg --list-keys หาก key หมดอายุ Monero project จะประกาศ key ใหม่บนเว็บ getmonero.org พร้อมลายเซ็นจาก key เก่าเป็นการยืนยัน
สรุป: 10 นาทีที่อาจช่วยคุณไว้ทั้งชีวิต
การตรวจสอบ GPG signature และ SHA-256 hash ก่อนติดตั้ง Monero wallet ไม่ใช่ขั้นตอนเสริมสำหรับ geek หรือ paranoid แต่เป็นมาตรฐานพื้นฐานสำหรับทุกคนที่จริงจังกับการเก็บคริปโตอย่างปลอดภัย คนไทยที่เพิ่งเริ่มสนใจ XMR เพราะต้องการ privacy หรือเป็น hedge จากค่าเงินบาทผันผวน ควรเริ่มต้นด้วยการสร้างนิสัยตรวจสอบไฟล์ทุกครั้งตั้งแต่วันแรก เพราะเมื่อคุ้นแล้ว 3 นาทีต่อครั้งแทบไม่รู้สึก
หากคุณต้องการซื้อ Monero แบบ private โดยไม่ผ่าน KYC ของ exchange ไทยที่อายัดบัญชีได้ทุกเมื่อ ลองดูบริการของ MoneroSwapper ที่รองรับ atomic swap จาก Bitcoin, Litecoin และ Ethereum โดยตรงเข้า wallet ของคุณ พร้อมรายละเอียดวิธีรับ Monero อย่างปลอดภัยที่ หน้าซื้อ Monero แบบไม่ระบุตัวตน ของเรา เริ่มต้นจากการตรวจสอบ wallet ของคุณวันนี้ แล้วต่อยอดสู่ระดับ OPSEC ที่สูงขึ้นเรื่อย ๆ การปกป้อง privacy เป็นการเดินทาง ไม่ใช่ปุ่มเดียวที่กดแล้วจบ