Die Überprüfung der digitalen Signatur der BitBoxApp ist eine erweiterte Sicherheitsmaßnahme, die bestätigt, dass du eine echte, von BitBox signierte Version verwendest. Dieser Prozess stellt sicher, dass die Anwendung nicht manipuliert wurde.

Obwohl dieser Schritt für fortgeschrittene Benutzer empfohlen wird, ist die BitBox02 Hardware-Wallet so konzipiert, dass sie auch dann sicher ist, wenn dein Computer kompromittiert ist. Sie vertraut der BitBoxApp nicht und akzeptiert keine unsignierte Firmware, wodurch deine privaten Schlüssel jederzeit geschützt sind.


Voraussetzungen

Die meisten Linux-Distributionen haben GPG (GNU Privacy Guard) vorinstalliert. Du kannst dies überprüfen, indem du ein Terminal öffnest und gpg --version ausführst. Falls es nicht installiert ist, verwende den Paketmanager deiner Distribution, um es zu installieren (z.B. sudo apt install gnupg bei Debian/Ubuntu oder sudo dnf install gnupg2 bei Fedora).


Schritt 1: Lade die notwendigen Dateien herunter

Gehe zur offiziellen BitBoxApp-Release-Seite auf GitHub. Lade sowohl die Anwendungsdatei für dein System als auch die zugehörige .asc-Signaturdatei herunter.

  • Debian/Ubuntu/Mint: Lade das .deb-Paket und die .deb.asc-Datei herunter.
  • Fedora: Lade das .rpm-Paket und die .rpm.asc-Datei herunter.
  • Andere Distributionen: Lade die .AppImage-Datei und die .AppImage.asc-Datei herunter.

Stelle sicher, dass beide Dateien im selben Verzeichnis gespeichert sind (z.B. in deinem Downloads-Ordner).


Schritt 2: Öffne das Terminal

Öffne ein Terminalfenster. Eine gängige Methode ist, in deinem Dateimanager zum Downloads-Ordner zu navigieren, mit der rechten Maustaste in den Ordner zu klicken und eine Option wie „Im Terminal öffnen“ auszuwählen.


Schritt 3: Importiere den Signaturschlüssel von BitBox

Um die Signatur zu überprüfen, musst du zuerst unseren öffentlichen Schlüssel importieren. Führe den folgenden Befehl in deinem Terminal aus:

curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import

Schritt 4: Überprüfe die Anwendungssignatur

Jetzt kannst du überprüfen, ob die von dir heruntergeladene App authentisch von uns signiert wurde. Führe im Terminal den Befehl gpg --verify gefolgt vom Namen der .asc-Datei aus.

Der Dateiname ändert sich je nach Version. Dieses Beispiel gilt für die Version 4.47.3 und das .deb-Paket:

gpg --verify bitbox_4.47.3_amd64.deb.asc

Tipp: Während du den Dateinamen eingibst, kannst du die Tab-Taste drücken, um ihn automatisch zu vervollständigen. Stelle sicher, dass der Dateiname auf .asc endet.

 

Die Ausgabe des Befehls sollte die folgenden zwei Dinge enthalten:

  • Den Text gpg: Gute Signatur von "ShiftCrypto Security <security@shiftcrypto.ch>".
  • Den Fingerabdruck des Primärschlüssels: DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.

Wenn beides vorhanden ist, ist die Signatur gültig.

Hinweis: Wahrscheinlich siehst du eine Warnung mit dem Text: „Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert.“ Das ist normal und bedeutet lediglich, dass du GPG nicht explizit angewiesen hast, unserem Schlüssel zu vertrauen.