Die Überprüfung der Signatur der BitBoxApp-APK ist eine fortgeschrittene Sicherheitsmaßnahme, um sicherzustellen, dass die von dir heruntergeladene Datei authentisch und unverändert ist. Diese Anleitung richtet sich an Nutzer, die die Überprüfung direkt auf ihrem Android-Gerät durchführen möchten.
Wenn du einen Desktop-Computer hast, ist es möglicherweise einfacher, die Überprüfung dort durchzuführen, indem du die .apk
- und .apk.asc
-Dateien herunterlädst und unserer Linux-Anleitung folgst.
Voraussetzungen: Termux und GPG einrichten
Wir werden den Terminal-Emulator Termux verwenden, um die Überprüfungsbefehle auszuführen.
- Termux installieren: Lade Termux von F-Droid oder Google Play herunter und öffne die App.
- GPG installieren: Gib im Termux-Terminal den folgenden Befehl ein und drücke die Eingabetaste.
pkg install gnupg -y
- wget installieren: Dieses Tool hilft beim Herunterladen von Dateien.
pkg install wget -y
- BitBox-Signaturschlüssel importieren: Führe diesen Befehl aus, um unseren öffentlichen Schlüssel herunterzuladen und zu importieren.
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
Der Schlüsselfingerprint lautet DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
.
Deine Umgebung ist nun bereit. Du musst diese vorbereitenden Schritte in Zukunft nicht wiederholen.
Schritt 1: App und Signatur herunterladen
- Wir laden die Dateien direkt in Termux herunter. Hole dir zuerst den neuesten Download-Link von unserer GitHub-Release-Seite.
- Ersetze die URL in den folgenden Befehlen durch den Link der neuesten Version. Dieses Beispiel verwendet Version 4.47.0.
- Die APK-Datei herunterladen:
wget https://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.47.0/BitBox-4.47.0-android.apk
- Die Signaturdatei herunterladen:
wget https://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.47.0/BitBox-4.47.0-android.apk.as
- Führe
ls
aus, um zu bestätigen, dass beide Dateien im Verzeichnis sind.
Schritt 2: Die Signatur der Anwendung prüfen
Führe abschließend den Befehl gpg --verify
mit dem Namen der .asc
-Signaturdatei aus.
gpg --verify BitBox-4.47.0-android.apk.asc
Die Ausgabe des Befehls sollte die folgenden zwei Dinge enthalten:
- Den Text
gpg: Gute Signatur von "ShiftCrypto Security <security@shiftcrypto.ch>"
. - Den primären Schlüsselfingerprint:
DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
.

Wenn beides vorhanden ist, ist die Signatur gültig. Du kannst die APK-Datei nun im Dateimanager deines Geräts finden (suche nach dem Termux-Ordner) und mit der Installation fortfahren.

Hinweis: Die Warnung „Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert“ ist normal und kann ignoriert werden.