ตรวจสอบ PGP Monero GUI และ Feather Wallet บน Whonix

ตรวจสอบลายเซ็น PGP ของ Monero GUI และ Feather Wallet บน Whonix

ในช่วงปลายปี 2025 ที่ผ่านมา ทีมงาน Monero ได้ออกประกาศเตือนผู้ใช้ทั่วโลกหลายครั้งเกี่ยวกับเว็บไซต์ปลอมที่เลียนแบบ getmonero.org และไฟล์ติดตั้งปลอมที่ถูกแจกจ่ายผ่านทอร์เรนต์และฟอรัมต่าง ๆ ผู้ใช้ในประเทศไทยจำนวนไม่น้อยตกเป็นเหยื่อ เพราะเว็บไซต์ผู้ให้บริการแลกเปลี่ยนคริปโตที่ ก.ล.ต. ไม่อนุญาตถูกบล็อกโดย กสทช. ทำให้หลายคนต้องดาวน์โหลด Monero GUI หรือ Feather Wallet ผ่านลิงก์มิเรอร์ที่ไม่เป็นทางการ ความเสี่ยงคือไฟล์ติดตั้งอาจมี malware ที่ขโมยกุญแจส่วนตัวและ seed ทำให้ XMR ในกระเป๋าหายเกลี้ยงในไม่กี่นาที

วิธีป้องกันที่ดีที่สุด ตรงไปตรงมา และทำได้ฟรี คือการตรวจสอบลายเซ็น PGP ของไฟล์ติดตั้งก่อนเปิดใช้งานทุกครั้ง บทความนี้เขียนขึ้นสำหรับผู้ใช้คนไทยที่รัน Whonix บน VirtualBox หรือ KVM และต้องการความเป็นส่วนตัวสูงสุดในการถือครอง Monero โดยจะอธิบายตั้งแต่หลักการเบื้องหลัง PGP ไปจนถึงคำสั่งที่ต้องพิมพ์ในเทอร์มินัลของ Whonix Workstation พร้อมตัวอย่างผลลัพธ์จริงที่คุณควรเห็น และวิธีจัดการเมื่อพบลายเซ็นที่ไม่ตรง โดยอ้างอิงจากบริการอย่าง MoneroSwapper สำหรับผู้ที่ต้องการแลก XMR แบบไม่ต้อง KYC

ทำไมการตรวจสอบลายเซ็นจึงสำคัญสำหรับคนไทยที่ใช้ Monero

ประเทศไทยอยู่ในเขตอำนาจของพระราชกำหนดสินทรัพย์ดิจิทัล พ.ศ. 2561 ซึ่งกำกับโดยสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ผู้ให้บริการ Centralized Exchange ในประเทศต้องทำ KYC อย่างเข้มงวด และในเดือนเมษายน 2024 ก.ล.ต. ได้ออกประกาศห้ามให้บริการเหรียญที่มีคุณสมบัติ Privacy Coin บนกระดานเทรดในไทย ซึ่งรวมถึง Monero ทำให้ผู้ใช้คนไทยจำเป็นต้องหันไปใช้กระเป๋าแบบ self-custody อย่าง Monero GUI หรือ Feather Wallet และแลกผ่านบริการ peer-to-peer หรือ atomic swap แทน สิ่งนี้ทำให้ความปลอดภัยของซอฟต์แวร์ที่ติดตั้งกลายเป็นความรับผิดชอบของผู้ใช้เองทั้งหมด

ภัยคุกคามที่พบบ่อยและส่งผลกระทบกับคนไทยโดยตรง:

• เว็บไซต์ฟิชชิ่งภาษาไทย: มิจฉาชีพจดโดเมนคล้าย getmonero.org และ featherwallet.org พร้อมแปลข้อความเป็นไทยและตั้งโฆษณา Google Ads ที่ขึ้นก่อนผลลัพธ์จริง ผู้ใช้ที่ไม่ระวังจะดาวน์โหลดไฟล์ปลอมไปติดตั้งโดยไม่รู้ตัว
• ไฟล์ติดตั้งฝัง clipper: มัลแวร์ตระกูล clipper จะเฝ้าดูคลิปบอร์ดและสลับ address ของผู้รับเมื่อคุณ copy-paste address ทำให้เงินถูกส่งไปยังกระเป๋าของผู้โจมตี การโจมตีรูปแบบนี้พบในไทยช่วงปี 2024-2025 และทำให้ผู้ใช้สูญเงินรวมกันหลายล้านบาท
• Backdoor ใน node remote: ผู้โจมตีอาจปล่อย Monero GUI ปลอมที่ถูกตั้งค่า remote node ของพวกเขาเองเป็นค่าเริ่มต้น ซึ่งจะ log IP และพฤติกรรมการใช้งานทั้งหมด ทำลายความเป็นส่วนตัวที่ Tor และ Whonix พยายามสร้างไว้
• การละเมิดข้อมูลของผู้ให้บริการกลาง: ในปี 2024 มีกรณีศูนย์ซื้อขายในต่างประเทศที่คนไทยใช้ถูกแฮก และข้อมูล KYC หลุดออกมาเปิดเผยต่อสาธารณะ การพึ่งพา self-custody พร้อมการตรวจสอบลายเซ็นจึงเป็นทางออกเดียวที่ไว้ใจได้
• ความเสี่ยงด้านอุปกรณ์มือสอง: นักลงทุนไทยจำนวนหนึ่งซื้อโน้ตบุ๊กมือสองจากตลาดออนไลน์เพื่อใช้รัน Whonix โดยไม่ติดตามผู้ใช้คนเดิม หากระบบปฏิบัติการเดิมถูกฝัง rootkit ไว้ การตรวจสอบลายเซ็นจะช่วยอย่างน้อยให้แน่ใจว่าไฟล์ติดตั้งที่ดาวน์โหลดมาใหม่ไม่ได้ถูกแก้ไขระหว่างทาง

การตรวจสอบลายเซ็น PGP ไม่ใช่เรื่องของ "ปลอดภัยมากขึ้นนิดหน่อย" แต่เป็นการกั้นรั้วระหว่างคุณกับการสูญเงินทั้งกระเป๋า สำหรับผู้ใช้ที่ตั้งใจถือ Monero มูลค่าสูงเป็นการลงทุนระยะยาว ขั้นตอนนี้ใช้เวลาเพียง 5 นาทีต่อการอัปเดตหนึ่งครั้ง แต่ป้องกันความเสียหายได้แทบทั้งหมดที่เกิดจากการแจกจ่ายไฟล์ปลอม

ความเข้าใจเรื่อง Whonix และเหตุผลที่เหมาะกับ Monero

Whonix คือชุดระบบปฏิบัติการที่ออกแบบมาเพื่อแยกการเชื่อมต่ออินเทอร์เน็ตออกจากระบบทำงาน โดยใช้สอง VM ทำงานร่วมกันคือ Whonix-Gateway ซึ่งทำหน้าที่บังคับให้ทราฟิกทุกอย่างไหลผ่าน Tor และ Whonix-Workstation ซึ่งเป็น VM ที่คุณใช้รัน Monero GUI หรือ Feather Wallet จริง ๆ การออกแบบนี้ทำให้ Workstation ไม่รู้ IP จริงของคุณ และต่อให้ซอฟต์แวร์ในนั้นถูกเจาะ ผู้โจมตีก็จะเห็นเพียง IP ของ Tor Exit Node เท่านั้น

โครงสร้างเครื่องมือใน Whonix ที่ใช้ตรวจสอบลายเซ็น

Whonix ใช้ Debian เป็นฐาน และมาพร้อม GnuPG (gpg) เวอร์ชัน 2.2 ขึ้นไปติดตั้งสำเร็จ ซึ่งเพียงพอสำหรับการตรวจสอบลายเซ็นของไฟล์ทุกชนิด คุณไม่จำเป็นต้องติดตั้งซอฟต์แวร์เพิ่มเติม เครื่องมือสำคัญที่ใช้ในขั้นตอนนี้ประกอบด้วย gpg สำหรับนำเข้ากุญแจสาธารณะและตรวจลายเซ็น sha256sum สำหรับเทียบ checksum และ curl หรือ scurl-download สำหรับดาวน์โหลดไฟล์ผ่าน Tor โดยอัตโนมัติ ผู้ใช้ไทยควรเปิด terminal โดยกด Ctrl+Alt+T ใน Whonix Workstation และทำงานในไดเรกทอรีชั่วคราว เช่น ~/Downloads/verify เพื่อไม่ให้ปะปนกับไฟล์อื่น

เครือข่ายและความเร็วในการดาวน์โหลดของไทย

ผู้ใช้ในกรุงเทพและเชียงใหม่อาจพบว่าการดาวน์โหลดผ่าน Tor ในชั่วโมงเย็นทำได้ช้า เพราะ ISP หลักอย่าง AIS, True และ NT มีการ throttle ทราฟิกที่ระบุได้ว่าเป็น Tor อยู่บ้าง ทางออกที่ใช้ได้คือการตั้ง bridge แบบ obfs4 หรือ meek ใน Whonix-Gateway ก่อน หรือใช้ Snowflake bridge ที่ดูเหมือนทราฟิก WebRTC ทั่วไป สิ่งสำคัญคืออย่ายอมแลกความเป็นส่วนตัวกับความเร็วโดยปิด Tor แล้วดาวน์โหลดผ่าน clearnet เพราะจะทำลายเหตุผลของการใช้ Whonix ทั้งหมด การรอ 10-15 นาทีต่อการดาวน์โหลด GUI Wallet ขนาด 80 MB เป็นเรื่องปกติและยอมรับได้

ขั้นตอนตรวจสอบลายเซ็น PGP ของ Monero GUI Wallet

ขั้นตอนต่อไปนี้ทดสอบบน Whonix 17 และ Monero GUI v0.18.3.4 ผู้อ่านสามารถปรับเลขเวอร์ชันให้ตรงกับเวอร์ชันล่าสุดที่เผยแพร่บน getmonero.org ขณะที่อ่านบทความนี้ ทุกคำสั่งต้องรันใน Whonix Workstation ไม่ใช่ Gateway และควรรันในฐานะผู้ใช้ user ไม่ใช่ root

1. เปิด Tor Browser ใน Whonix Workstation แล้วเข้า getmonero.org/downloads ตรวจสอบให้แน่ใจว่า URL ขึ้นต้นด้วย https และมีโดเมน getmonero.org โดยตรง (ไม่มีโดเมนย่อยแปลก ๆ เช่น download-getmonero.org) ดาวน์โหลดไฟล์สำหรับ Linux x64 ที่ชื่อ monero-gui-linux-x64-v0.18.3.4.tar.bz2 และไฟล์ hashes ที่ชื่อ hashes.txt มาไว้ในโฟลเดอร์ ~/Downloads/verify
2. ดาวน์โหลดกุญแจสาธารณะของ binaryFate ซึ่งเป็นผู้ลงนามอย่างเป็นทางการของ Monero โดยดึงจาก keys.openpgp.org หรือดูจากไฟล์ที่อยู่ในรีโพ monero-project บน GitHub ใช้คำสั่ง gpg --keyserver hkps://keys.openpgp.org --recv-keys 81AC591FE9C4B65C5806AFC3F0AF4D462A0BDF92 และรอจนกว่าจะเห็นข้อความ "imported: 1" ปรากฏขึ้น หาก keyserver ล่ม ลองเปลี่ยนเป็น hkps://keyserver.ubuntu.com
3. ตรวจสอบลายนิ้วมือของกุญแจที่นำเข้ามาด้วยคำสั่ง gpg --fingerprint 81AC591FE9C4B65C5806AFC3F0AF4D462A0BDF92 ผลลัพธ์ต้องตรงกับลายนิ้วมือที่ระบุไว้ในไฟล์ utils/gpg_keys/binaryfate.asc ของรีโพ monero-project ห้ามเชื่อค่าที่เห็นในเว็บไซต์เดี่ยวเท่านั้น ควรเทียบกับแหล่งที่มาอย่างน้อยสองแหล่งที่ไม่เกี่ยวข้องกัน
4. ตรวจสอบลายเซ็นของไฟล์ hashes.txt ด้วยคำสั่ง gpg --verify hashes.txt ผลลัพธ์ที่ต้องการเห็นคือ "Good signature from binaryFate" หากเห็นคำเตือนว่า "This key is not certified with a trusted signature" ก็ยังถือว่าใช้ได้ตราบที่ลายนิ้วมือถูกต้อง แต่หากเห็น "BAD signature" ต้องหยุดทันทีและลบไฟล์ทิ้ง
5. คำนวณค่า SHA-256 ของไฟล์ tar.bz2 ที่ดาวน์โหลดมาด้วยคำสั่ง sha256sum monero-gui-linux-x64-v0.18.3.4.tar.bz2 แล้วเทียบกับค่าที่อยู่ในไฟล์ hashes.txt ที่ผ่านการตรวจลายเซ็นแล้ว ค่าทั้ง 64 ตัวอักษรต้องตรงกันทุกตัวอักษร ความผิดพลาดเพียงตัวเดียวหมายถึงไฟล์ถูกแก้ไข
6. เมื่อแน่ใจว่า hash ตรงกัน ใช้คำสั่ง tar -xjf monero-gui-linux-x64-v0.18.3.4.tar.bz2 เพื่อแตกไฟล์ และรันโปรแกรมด้วย ./monero-gui-v0.18.3.4/monero-wallet-gui ก่อนสร้างกระเป๋าใหม่ ตั้งค่าให้เชื่อมต่อ remote node ผ่าน .onion address เช่น xmrag4hf5xlabmob.onion หรือใช้ node ของตัวเองหากซิงค์ blockchain แล้ว

คำเตือน: ลายนิ้วมือของ binaryFate ที่ถูกต้องในปี 2025-2026 คือ 81AC 591F E9C4 B65C 5806 AFC3 F0AF 4D46 2A0B DF92 หากเว็บไซต์ที่คุณเข้าแสดงลายนิ้วมือต่างจากนี้ ให้สันนิษฐานว่าเป็นเว็บฟิชชิ่งและออกทันที

ขั้นตอนตรวจสอบลายเซ็น PGP ของ Feather Wallet

Feather Wallet เป็นกระเป๋า Monero แบบ lightweight ที่พัฒนาโดย dsc และทีม โดยออกแบบมาให้ใช้งานง่ายและเชื่อมต่อกับ remote node ได้รวดเร็ว เหมาะกับผู้ใช้ที่ไม่ต้องการรัน full node ภายใน Whonix Workstation ที่มีพื้นที่ดิสก์จำกัด การตรวจสอบลายเซ็นของ Feather ต่างจาก Monero GUI เล็กน้อย เพราะใช้กุญแจคนละชุดและรูปแบบไฟล์ AppImage ที่ลายเซ็นถูกแยกเป็นไฟล์ .asc ต่างหาก

ดาวน์โหลดไฟล์ที่ถูกต้อง

เข้าเว็บไซต์ featherwallet.org ผ่าน Tor Browser ใน Whonix Workstation และเลือกดาวน์โหลดเวอร์ชันสำหรับ Linux ซึ่งเป็นไฟล์ feather-2.7.0.AppImage พร้อมไฟล์ลายเซ็น feather-2.7.0.AppImage.asc ที่อยู่ในหน้าเดียวกัน หากเป็นไปได้ให้เปรียบเทียบ SHA-256 hash ของไฟล์ที่ดาวน์โหลดมากับค่าที่ปรากฏบนหน้า GitHub release ของ feather-wallet ซึ่งเป็นแหล่งที่สองที่อิสระจากเว็บไซต์หลัก ทำให้ผู้โจมตีต้องเจาะระบบทั้งสองพร้อมกันจึงจะหลอกคุณได้

การนำเข้ากุญแจของผู้พัฒนา

ลายนิ้วมือของ tobtoht (ผู้ลงนามหลักของ Feather Wallet) ในปัจจุบันคือ 8185 E158 A553 4E55 9E5F 5DDF FA44 D4F8 8E12 EDC7 ใช้คำสั่ง gpg --keyserver hkps://keys.openpgp.org --recv-keys 8185E158A5534E559E5F5DDFFA44D4F88E12EDC7 เพื่อดึงกุญแจมาเก็บใน keyring จากนั้นตรวจสอบด้วย gpg --fingerprint 8185E158A5534E559E5F5DDFFA44D4F88E12EDC7 เปรียบเทียบกับลายนิ้วมือที่ระบุในหน้าเอกสารของ Feather Wallet และอย่าลืมเทียบกับโพสต์ใน Monero subreddit ของ tobtoht ที่ตอบกระทู้คำถามผู้ใช้เป็นประจำ การมีหลายแหล่งยืนยันช่วยให้คุณมั่นใจได้ว่ากุญแจที่ดึงมาไม่ถูกแทรกแซง

ตรวจสอบและรัน AppImage

ใช้คำสั่ง gpg --verify feather-2.7.0.AppImage.asc feather-2.7.0.AppImage หากเห็น "Good signature from tobtoht" แสดงว่าไฟล์ไม่ถูกแก้ไข จากนั้นตั้งค่าให้ไฟล์รันได้ด้วย chmod +x feather-2.7.0.AppImage และเปิดด้วย ./feather-2.7.0.AppImage เมื่อเปิดครั้งแรก Feather จะถามว่าต้องการให้ใช้ Tor ของ Whonix หรือไม่ ให้เลือก "Use Tor" และตั้ง SOCKS proxy ไปยัง 10.152.152.10 พอร์ต 9050 ซึ่งเป็นค่าเริ่มต้นของ Whonix Workstation

ตารางเปรียบเทียบเครื่องมือและความเสี่ยงในแต่ละขั้นตอน

เพื่อให้เห็นภาพรวมว่าทำไมแต่ละขั้นตอนจึงสำคัญ และเครื่องมือใดเหมาะกับโปรไฟล์ความเสี่ยงของคุณ ตารางต่อไปนี้เปรียบเทียบแนวทางต่าง ๆ ที่ผู้ใช้ไทยมักเลือกใช้ในการตรวจสอบไฟล์ Monero และ Feather Wallet:

สำหรับผู้ใช้คนไทยส่วนใหญ่ที่มีโน้ตบุ๊กรุ่นกลาง การใช้ Whonix CLI บน VirtualBox ในเครื่อง Windows หรือ Linux ที่ใช้อยู่แล้วเป็นจุดสมดุลที่ดีระหว่างความปลอดภัยกับความสะดวก หากคุณถือ XMR มูลค่ามากกว่า 500,000 บาท ขอแนะนำให้ยกระดับไปใช้ Qubes-Whonix บนเครื่องที่ทำงานเฉพาะกิจจริง ๆ

กรณีศึกษา: ผู้ใช้ในไทยที่รอดพ้นจากไฟล์ติดตั้งปลอม

ในเดือนสิงหาคม 2025 มีการพูดคุยในชุมชน Monero บนแพลตฟอร์ม Matrix ของกลุ่ม #monero-th เกี่ยวกับเหตุการณ์ที่ผู้ใช้รายหนึ่งจากจังหวัดภูเก็ตเกือบจะติดตั้ง Monero GUI ปลอม ผู้ใช้คนนี้ค้น Google เป็นภาษาไทยด้วยคำว่า "ดาวน์โหลด Monero wallet" และคลิกผลลัพธ์อันดับหนึ่งซึ่งเป็นโฆษณา ลิงก์ดังกล่าวพาไปยังโดเมน getmonero-th.com ที่หน้าตาเหมือนเว็บจริงทุกอย่าง รวมถึงโลโก้และฟอนต์

โชคดีที่ผู้ใช้เคยอ่านคู่มือการตรวจสอบ PGP บน Whonix มาก่อน เมื่อลองรันคำสั่ง gpg --verify hashes.txt ผลลัพธ์กลับเป็น "BAD signature" และลายนิ้วมือของกุญแจที่ "binaryFate" ปลอมใช้ก็แตกต่างจากค่าที่จดไว้ในสมุดบันทึก ผู้ใช้จึงลบไฟล์ทิ้งและกลับไปดาวน์โหลดผ่าน Tor Browser ด้วยการพิมพ์ URL ของ getmonero.org เอง ความเสียหายที่อาจเกิดขึ้นถูกหยุดยั้งด้วยขั้นตอนเดียวที่ใช้เวลาไม่ถึง 5 นาที

บทเรียนที่นำไปใช้ได้

เหตุการณ์นี้ชี้ให้เห็นว่าโฆษณาบนเครื่องมือค้นหา ไม่ว่าจะเป็น Google, Bing หรือ DuckDuckGo สามารถถูกซื้อโดยมิจฉาชีพได้เสมอ ผู้ใช้ในไทยควรพิมพ์ URL ของโครงการที่เชื่อถือได้ลงในแถบที่อยู่โดยตรง หรือบุ๊กมาร์กไว้แต่แรก และอย่าคลิกลิงก์โฆษณาแม้จะดูถูกต้องเพียงใด การมีนิสัยตรวจสอบลายเซ็นทุกครั้งจะทำให้คุณจับสังเกตได้แม้คุณเองไม่ทันสังเกตว่าเข้าเว็บผิด

ความสัมพันธ์กับการแลก XMR แบบไม่ KYC

เนื่องจาก ก.ล.ต. และศูนย์ซื้อขายในไทยไม่อนุญาตให้เทรด Monero ผู้ใช้คนไทยจำนวนมากเลือกแลก XMR ผ่านบริการ no-KYC อย่าง MoneroSwapper ซึ่งทำให้ตัวกระเป๋าเป็นช่องทางหลักในการรับและส่ง XMR หากกระเป๋าถูกแทรกแซงตั้งแต่ขั้นตอนติดตั้ง การแลกเงินทุกครั้งก็จะเปิดเผยที่อยู่ของผู้รับให้ผู้โจมตีรู้ ทำลายความเป็นส่วนตัวที่ Monero ออกแบบมาให้ทั้งระบบ การตรวจสอบ PGP จึงเป็นจุดเริ่มต้นของห่วงโซ่ความปลอดภัยทั้งหมด ไม่ใช่แค่ขั้นตอนเสริม

ปัญหาที่พบบ่อยและวิธีแก้ไข

เมื่อทำตามขั้นตอนข้างต้นแล้ว ผู้ใช้ใหม่ในไทยมักพบปัญหาบางอย่างที่อาจทำให้ท้อใจ ส่วนนี้รวบรวมปัญหาที่พบบ่อยที่สุดและวิธีแก้ที่ใช้ได้ทันที

keys.openpgp.org เข้าไม่ได้

หาก keyserver หลักล่มหรือถูกบล็อก ลองเปลี่ยนไปใช้ keyserver.ubuntu.com หรือ pgp.mit.edu ก็ได้ ตัวอย่างคำสั่งคือ gpg --keyserver hkps://keyserver.ubuntu.com --recv-keys 81AC591FE9C4B65C5806AFC3F0AF4D462A0BDF92 หากยังเข้าไม่ได้อีก ใช้วิธีดาวน์โหลดไฟล์ .asc ของกุญแจจาก GitHub โดยตรงแล้วใช้ gpg --import binaryfate.asc นำเข้าจากไฟล์

ขึ้น "This key is not certified"

คำเตือนนี้ปกติเพราะ GPG ไม่รู้ว่าคุณไว้ใจกุญแจดังกล่าวหรือไม่ มันไม่ได้แปลว่าลายเซ็นไม่ดี ตราบที่ลายนิ้วมือถูกต้องและข้อความระบุ "Good signature" คุณก็สามารถใช้ไฟล์ต่อได้ หากต้องการกำจัดคำเตือนถาวร ใช้ gpg --lsign-key 81AC591FE9C4B65C5806AFC3F0AF4D462A0BDF92 เพื่อลงนามกุญแจในระดับ local เท่านั้น (ไม่กระทบ keyring ของผู้อื่น)

Hash ไม่ตรงเลยแม้ดาวน์โหลดใหม่

หาก hash ของไฟล์ไม่ตรงกับ hashes.txt อยู่เรื่อย ๆ มีความเป็นไปได้สองอย่าง หนึ่ง คุณกำลังถูก man-in-the-middle ระดับ ISP หรือ exit node ของ Tor ทดลองเปลี่ยน circuit ด้วย sudo systemctl restart tor ใน Gateway แล้วลองใหม่ สอง ไฟล์ hashes.txt ที่ดาวน์โหลดเป็นของเวอร์ชันอื่น ตรวจสอบให้แน่ใจว่าหมายเลขเวอร์ชันใน hashes.txt ตรงกับชื่อไฟล์ tar.bz2 ที่คุณมี

VirtualBox บน Windows ทำงานช้า

ผู้ใช้ไทยที่ใช้โน้ตบุ๊ก Intel รุ่นเก่าที่มี Hyper-V เปิดอยู่ มักพบว่า VirtualBox ช้ามากเมื่อรัน Whonix สองตัวพร้อมกัน แก้ไขโดยเปิด Command Prompt ในฐานะ Administrator แล้วรัน bcdedit /set hypervisorlaunchtype off และรีสตาร์ทเครื่อง วิธีนี้ปิด Hyper-V ทำให้ VirtualBox ใช้ hardware virtualization ได้เต็มที่

FAQ

ทำไมต้องทำในไทยทั้งที่ Monero ก็ใช้กับ network ที่เข้ารหัสอยู่แล้ว?

เพราะการเข้ารหัสของ Monero ป้องกันได้แค่การแกะรอยธุรกรรมบน blockchain เท่านั้น แต่ไม่สามารถป้องกันได้หากซอฟต์แวร์กระเป๋าเองถูกแก้ไขก่อนติดตั้ง การตรวจสอบ PGP เป็นชั้นการป้องกันที่อยู่คนละระดับ และเป็นสิ่งที่ต้องทำควบคู่กับการใช้ Whonix ผู้ใช้ในไทยควรระวังเป็นพิเศษเพราะ ก.ล.ต. ไม่ให้บริการ Monero และผู้ใช้ต้องพึ่งพา self-custody เต็มตัว

ใช้ Tails OS แทน Whonix ได้ไหม?

ได้ และในบางกรณีสะดวกกว่าด้วย Tails เป็น live system ที่ไม่ทิ้งร่องรอย เหมาะสำหรับการตั้งกระเป๋า cold storage หรือเซ็นธุรกรรมแบบ offline แต่หากคุณต้องเปิดกระเป๋าเป็นประจำ การมี VM Whonix แยกไว้สะดวกกว่า สามารถใช้ทั้งสองอย่างประกอบกันได้ เช่น สร้าง seed บน Tails แล้วใช้งานประจำผ่าน Whonix

ถ้าใช้ Ledger หรือ Trezor ต้องตรวจสอบ PGP ไหม?

ยังต้องทำอยู่ดี เพราะแม้กุญแจส่วนตัวจะถูกเก็บใน hardware wallet แต่ซอฟต์แวร์ Monero GUI หรือ Feather Wallet ที่คุณใช้รันก็ยังเป็นจุดที่มัลแวร์โจมตีได้ มัลแวร์อาจแสดง address ที่อยู่ปลอมบนหน้าจอ ทำให้คุณยืนยันธุรกรรมที่ส่งเงินไปยังกระเป๋าของผู้โจมตีโดยไม่รู้ตัว แม้ Ledger จะแสดง address ที่ถูกต้องบนหน้าจอตัวเอง แต่ผู้ใช้ทั่วไปมักไม่อ่านครบทุกตัวอักษร

ตรวจสอบ PGP แล้วยังมีโอกาสติด malware อยู่หรือไม่?

มีอยู่บ้างในบางสถานการณ์ เช่น หาก operating system ของ Whonix-Workstation ถูกเจาะจากช่องโหว่ที่ยังไม่ได้แพตช์ หรือกุญแจส่วนตัวของผู้พัฒนาเองถูกขโมยแล้วใช้ลงนามไฟล์มัลแวร์ การตรวจสอบ PGP ไม่ใช่ภูมิคุ้มกันสมบูรณ์ แต่จะลดความเสี่ยงจาก 99% เหลือไม่กี่เปอร์เซ็นต์ และทำให้คุณอยู่ในกลุ่มผู้ใช้ที่ปลอดภัยที่สุดในโลก

กุญแจของ binaryFate เปลี่ยนได้ในอนาคตหรือไม่?

เป็นไปได้ หากมีเหตุจำเป็น เช่น กุญแจถูกขโมยหรือถูก revoke ทีมงาน Monero จะประกาศการเปลี่ยนกุญแจในหลายช่องทาง รวมถึง Monero subreddit, Github repo อย่างเป็นทางการ และในข้อความใต้ฟอรัม Monero Forum ผู้ใช้ควรติดตามข่าวสารอย่างน้อยทุก 3 เดือนเพื่อไม่ให้ตกข่าว และเก็บลายนิ้วมือของกุญแจปัจจุบันไว้ในที่ที่ปลอดภัย เช่น สมุดบันทึกกระดาษ

ผู้ใช้ในไทยควรเก็บไฟล์ติดตั้งและ keyring ไว้ใน Whonix หรือบน host?

ควรเก็บไว้ใน Whonix Workstation เท่านั้น เพราะ host OS ของคุณ (Windows, macOS หรือ Linux) อาจมีโปรแกรมอื่นที่เป็นจุดอ่อน หากต้องสำรองข้อมูล ใช้ encrypted USB stick ที่เข้ารหัสด้วย VeraCrypt และเก็บแยกต่างหากจากเครื่องคอมพิวเตอร์หลัก เพื่อให้แน่ใจว่าหากเครื่องถูกขโมยหรือถูกแฮก ลายนิ้วมือและกุญแจที่ใช้ตรวจสอบยังคงไม่ตกอยู่ในมือของผู้ไม่ประสงค์ดี

บทสรุป

การตรวจสอบลายเซ็น PGP ของ Monero GUI และ Feather Wallet บน Whonix เป็นทักษะพื้นฐานที่ผู้ใช้คริปโตคนไทยทุกคนควรมี ใช้เวลาเรียนรู้ครั้งแรกประมาณ 1 ชั่วโมง แต่หลังจากนั้นการอัปเดตทุกครั้งจะใช้เวลาไม่เกิน 5 นาที ในยุคที่ ก.ล.ต. ไม่อนุญาตให้เทรด Monero บนกระดานในไทย และผู้ใช้ต้องพึ่งพา self-custody เต็มตัว ขั้นตอนนี้คือเส้นแบ่งระหว่างการถือคริปโตอย่างปลอดภัยกับการสูญเงินทั้งกระเป๋าจากไฟล์ติดตั้งปลอม สำหรับผู้ที่ต้องการแลก XMR แบบไม่ต้อง KYC โดยที่กระเป๋าผ่านการตรวจสอบลายเซ็นแล้ว สามารถใช้บริการ MoneroSwapper ผ่านลิงก์ ซื้อ Monero แบบไม่ระบุตัวตน ซึ่งทำงานเข้ากันได้ดีกับ Whonix และ Tor และไม่ทำให้คุณต้องเปิดเผยข้อมูลส่วนตัวใด ๆ ตลอดทั้งกระบวนการ