Die Überprüfung der Signatur der BitBoxApp-APK ist eine fortgeschrittene Sicherheitsmaßnahme, um sicherzustellen, dass die von dir heruntergeladene Datei authentisch und unverändert ist. Diese Anleitung richtet sich an Nutzer, die die Überprüfung direkt auf ihrem Android-Gerät durchführen möchten.

Wenn du einen Desktop-Computer hast, ist es möglicherweise einfacher, die Überprüfung dort durchzuführen, indem du die .apk- und .apk.asc-Dateien herunterlädst und unserer Linux-Anleitung folgst.

 

Voraussetzungen: Termux und GPG einrichten

Wir werden den Terminal-Emulator Termux verwenden, um die Überprüfungsbefehle auszuführen.

  1. Termux installieren: Lade Termux von F-Droid oder Google Play herunter und öffne die App.
  2. GPG installieren: Gib im Termux-Terminal den folgenden Befehl ein und drücke die Eingabetaste. 
pkg install gnupg -y
  1. wget installieren: Dieses Tool hilft beim Herunterladen von Dateien. 
pkg install wget -y
  1. BitBox-Signaturschlüssel importieren: Führe diesen Befehl aus, um unseren öffentlichen Schlüssel herunterzuladen und zu importieren. 
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import

Der Schlüsselfingerprint lautet DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.

 

Deine Umgebung ist nun bereit. Du musst diese vorbereitenden Schritte in Zukunft nicht wiederholen.


Schritt 1: App und Signatur herunterladen

  1. Wir laden die Dateien direkt in Termux herunter. Hole dir zuerst den neuesten Download-Link von unserer GitHub-Release-Seite.
  2. Ersetze die URL in den folgenden Befehlen durch den Link der neuesten Version. Dieses Beispiel verwendet Version 4.47.0.
  3. Die APK-Datei herunterladen: 
wget https://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.47.0/BitBox-4.47.0-android.apk
  1. Die Signaturdatei herunterladen: 
wget https://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.47.0/BitBox-4.47.0-android.apk.as
  1. Führe ls aus, um zu bestätigen, dass beide Dateien im Verzeichnis sind.

Schritt 2: Die Signatur der Anwendung prüfen

Führe abschließend den Befehl gpg --verify mit dem Namen der .asc-Signaturdatei aus.

gpg --verify BitBox-4.47.0-android.apk.asc

Die Ausgabe des Befehls sollte die folgenden zwei Dinge enthalten:

  1. Den Text gpg: Gute Signatur von "ShiftCrypto Security <security@shiftcrypto.ch>".
  2. Den primären Schlüsselfingerprint: DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.

Wenn beides vorhanden ist, ist die Signatur gültig. Du kannst die APK-Datei nun im Dateimanager deines Geräts finden (suche nach dem Termux-Ordner) und mit der Installation fortfahren.

Hinweis: Die Warnung „Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert“ ist normal und kann ignoriert werden.