Die Überprüfung der digitalen Signatur der BitBoxApp ist eine erweiterte Sicherheitsmaßnahme, die bestätigt, dass du eine echte, von BitBox signierte Version verwendest. Dieser Prozess stellt sicher, dass die Anwendung nicht manipuliert wurde.
Obwohl dieser Schritt für fortgeschrittene Benutzer empfohlen wird, ist die BitBox02 Hardware-Wallet so konzipiert, dass sie auch dann sicher ist, wenn dein Computer kompromittiert ist. Sie vertraut der BitBoxApp nicht und akzeptiert keine unsignierte Firmware, wodurch deine privaten Schlüssel jederzeit geschützt sind.
Voraussetzungen
Die meisten Linux-Distributionen haben GPG (GNU Privacy Guard) vorinstalliert. Du kannst dies überprüfen, indem du ein Terminal öffnest und gpg --version
ausführst. Falls es nicht installiert ist, verwende den Paketmanager deiner Distribution, um es zu installieren (z.B. sudo apt install gnupg
bei Debian/Ubuntu oder sudo dnf install gnupg2
bei Fedora).
Schritt 1: Lade die notwendigen Dateien herunter
Gehe zur offiziellen BitBoxApp-Release-Seite auf GitHub. Lade sowohl die Anwendungsdatei für dein System als auch die zugehörige .asc
-Signaturdatei herunter.
-
Debian/Ubuntu/Mint: Lade das
.deb
-Paket und die.deb.asc
-Datei herunter. -
Fedora: Lade das
.rpm
-Paket und die.rpm.asc
-Datei herunter. -
Andere Distributionen: Lade die
.AppImage
-Datei und die.AppImage.asc
-Datei herunter.
Stelle sicher, dass beide Dateien im selben Verzeichnis gespeichert sind (z.B. in deinem Downloads-Ordner).
Schritt 2: Öffne das Terminal
Öffne ein Terminalfenster. Eine gängige Methode ist, in deinem Dateimanager zum Downloads-Ordner zu navigieren, mit der rechten Maustaste in den Ordner zu klicken und eine Option wie „Im Terminal öffnen“ auszuwählen.
Schritt 3: Importiere den Signaturschlüssel von BitBox
Um die Signatur zu überprüfen, musst du zuerst unseren öffentlichen Schlüssel importieren. Führe den folgenden Befehl in deinem Terminal aus:
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
Schritt 4: Überprüfe die Anwendungssignatur
Jetzt kannst du überprüfen, ob die von dir heruntergeladene App authentisch von uns signiert wurde. Führe im Terminal den Befehl gpg --verify
gefolgt vom Namen der .asc
-Datei aus.
Der Dateiname ändert sich je nach Version. Dieses Beispiel gilt für die Version 4.47.3 und das .deb
-Paket:
gpg --verify bitbox_4.47.3_amd64.deb.asc
Tipp: Während du den Dateinamen eingibst, kannst du die Tab-Taste drücken, um ihn automatisch zu vervollständigen. Stelle sicher, dass der Dateiname auf .asc
endet.
Die Ausgabe des Befehls sollte die folgenden zwei Dinge enthalten:
- Den Text
gpg: Gute Signatur von "ShiftCrypto Security <security@shiftcrypto.ch>"
. - Den Fingerabdruck des Primärschlüssels:
DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
.
Wenn beides vorhanden ist, ist die Signatur gültig.
Hinweis: Wahrscheinlich siehst du eine Warnung mit dem Text: „Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert.“ Das ist normal und bedeutet lediglich, dass du GPG nicht explizit angewiesen hast, unserem Schlüssel zu vertrauen.