Coldcard下载渠道与固件校验:避开钓鱼站的全步骤指南
Coldcard和软件钱包不同,硬件设备本身不需要从网上下载,但Coldcard下载指向的是它的固件、配套桌面软件以及Bootrom更新文件。这些文件的来源与校验决定了你的设备是否会被植入恶意代码。
一、官方下载入口
Coldcard的全部官方资料只在Coinkite公司的官方域名分发。以下是几类必须从官方获取的文件:
- 固件升级包(.dfu或.bin);
- 桌面伴随软件Mk4 Bridge;
- 帮助文档与离线签名工具;
- HSM企业版套件。
搜索引擎里出现的所谓「中文镜像」、「破解版固件」务必避开,全部是钓鱼或木马陷阱。具体的真假网站对比方法可以看Coldcard官网里的列表。
二、固件签名校验
下载固件后必须做两层校验:
- SHA256哈希:对照官网公布值,确认文件完整性;
- PGP签名:用Coinkite的公开签名公钥(已在GitHub仓库)验证.asc签名文件。
哈希校验命令示例:
- Linux/Mac:sha256sum coldcard-x.x.x-mk4-firmware.dfu
- Windows PowerShell:Get-FileHash coldcard-x.x.x-mk4-firmware.dfu
PGP校验需要安装GPG工具:
- gpg --import coinkite-pubkey.asc
- gpg --verify coldcard-x.x.x-mk4-firmware.dfu.asc
出现「Good signature」即可。这两步缺一不可。具体步骤拆解可参考Coldcard教程里的固件章节。
三、SD卡导入固件
Coldcard的固件升级不走USB,全部走SD卡:
- 把校验通过的.dfu文件复制到FAT32格式的SD卡根目录;
- 文件名保持官方原始命名(不要重命名);
- 插入Coldcard,进入「Advanced」菜单;
- 选择「Upgrade Firmware」;
- 设备会验证文件签名(与你在电脑上校验过的Coinkite签名一致);
- 通过后按物理按钮确认升级。
升级过程持续约30秒,期间不要拔卡或断电。整个流程的安全设计与Coldcard离线签名同源,都是基于Coinkite的公钥信任链。
四、伴随软件Mk4 Bridge
Mk4 Bridge是Coldcard与桌面钱包软件通信的中间层,主要用于:
- 通过USB连接Sparrow、Electrum等钱包(而非SD卡空气间隙);
- 加密通讯,私钥仍然不离开Coldcard;
- 适合追求便利性的中级用户。
下载Bridge同样要做哈希与签名校验,流程和固件一致。详细的Bridge使用方法在Coldcard评测里有讨论。
五、国内访问受限的应对方案
如果你在国内访问Coinkite官网受限,可以这样应对:
- 使用合规VPN访问官方域名直接下载;
- 通过GitHub的Coinkite官方仓库拉取固件(GitHub国内访问相对稳定);
- 找海外朋友代下载,但务必用官方提供的SHA256和PGP校验,不依赖朋友的口头保证;
- 避免使用任何「Coldcard中文镜像」站点,无论看起来多正规。
相比Coldcard客服能直接提供的官方支持,民间镜像没有任何信任根,风险不可控。
结语
Coldcard下载与校验的核心理念只有一个:信任Coinkite的签名公钥,不信任任何中间环节。掌握了哈希校验与PGP校验的基本操作,你就能确保每次升级都是真正的官方固件,而不是被篡改的版本。这种谨慎是冷钱包用户的基本素养。