Table of Contents

Bevor du beginnst Prüfsummenprüfung und Signaturprüfung Was die Signaturprüfung bestätigt Signatur unter Windows überprüfen Signatur unter macOS überprüfen Signatur unter Linux überprüfen Signatur unter Android überprüfen Überprüfungsergebnis prüfen Wenn die Signaturprüfung fehlschlägt Häufig gestellte Fragen Was ist der Unterschied zwischen Prüfsummenprüfung und Signaturprüfung? Muss ich die Signatur überprüfen, um die BitBoxApp zu verwenden? Kann ich die BitBoxApp-Signatur nach der Installation überprüfen? Welche Datei soll ich überprüfen? Wo finde ich die Signaturdatei? Warum zeigt GPG eine Vertrauenswarnung an? Was soll ich tun, wenn die Signatur ungültig ist oder der Fingerabdruck nicht übereinstimmt?

Überprüfe die Signatur der BitBoxApp-Installationsdatei, die du heruntergeladen hast, bevor du sie installierst oder ausführst. Die Signaturprüfung bestätigt, dass die Installationsdatei von Shift Crypto signiert wurde und seitdem nicht verändert wurde.

Die Signaturprüfung ist optional und richtet sich an fortgeschrittene Nutzer, die vor dem Öffnen der heruntergeladenen Installationsdatei eine zusätzliche kryptografische Überprüfung durchführen möchten.

Bevor du beginnst

Bevor du die Signatur überprüfst, stelle sicher, dass du die heruntergeladene BitBoxApp-Installationsdatei, die passende .asc-Signaturdatei und GPG auf deinem Gerät hast.

  • Lade die BitBoxApp nur von der offiziellen BitBoxApp-Downloadseite oder aus dem offiziellen BitBoxApp-GitHub-Repository für Releases herunter.
  • Lade die BitBoxApp-Installationsdatei für dein Betriebssystem und die passende .asc-Signaturdatei aus demselben BitBoxApp-Release herunter. Die Installationsdatei kann die Windows-Installationsdatei (.exe), das macOS-Disk-Image (.dmg), das Linux-Paket (.deb oder .rpm), die AppImage-Datei oder die Android-APK-Datei sein. In diesem Artikel werden diese Dateien zusammenfassend als Installationsdatei bezeichnet.
  • Speichere die Installationsdatei und die passende .asc-Signaturdatei im selben Ordner.
Heruntergeladene Installationsdatei

Überprüfe die heruntergeladene Installationsdatei, nicht die installierte BitBoxApp oder extrahierte Inhalte. Die .asc-Signaturdatei muss exakt zur Installationsdatei passen, die du heruntergeladen hast.

Prüfsummenprüfung und Signaturprüfung

Prüfsummenprüfung und Signaturprüfung sind separate Überprüfungen.

Die Prüfsummenprüfung vergleicht die SHA-256-Prüfsumme deiner heruntergeladenen Installationsdatei mit der von BitBox veröffentlichten Prüfsumme. Sie bestätigt, dass die heruntergeladene Datei bitgenau mit der für dieses Release veröffentlichten Datei übereinstimmt.

Die Signaturprüfung überprüft die Signatur der Installationsdatei mit dem offiziellen Signaturschlüssel von Shift Crypto. Sie bestätigt, dass die Installationsdatei von Shift Crypto signiert wurde und nach der Signierung nicht verändert wurde.

Wenn du die stärkste manuelle Überprüfung durchführen möchtest, überprüfe zuerst die Prüfsumme der heruntergeladenen BitBoxApp-Installationsdatei (SHA-256) und überprüfe anschließend mit den folgenden Schritten die Signatur der Installationsdatei.

Was die Signaturprüfung bestätigt

Jedes BitBoxApp-Release enthält eine separate .asc-Signaturdatei. GPG verwendet die .asc-Signaturdatei und den öffentlichen Signaturschlüssel von Shift Crypto, um die heruntergeladene Installationsdatei zu überprüfen.

Der offizielle Signaturschlüssel verwendet die folgende Identität und den folgenden Fingerabdruck:

  • E-Mail: security@shiftcrypto.ch
  • Fingerabdruck: DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE

Fahre nur fort, wenn der von GPG angezeigte Fingerabdruck exakt mit dem oben gezeigten offiziellen Shift-Crypto-Fingerabdruck übereinstimmt.

Wähle dein Betriebssystem:

Signatur unter Windows überprüfen

Unter Windows verwendest du Gpg4win und die Eingabeaufforderung, um die heruntergeladene BitBoxApp-Installationsdatei zu überprüfen.

  1. Installiere Gpg4win.
  2. Öffne die Eingabeaufforderung: Wähle Start, gib cmd ein und drücke Enter.
  3. Bestätige, dass GPG installiert ist:
gpg --version
  1. Wechsle in den Ordner, in dem du die BitBoxApp-Installationsdatei und die passende .asc-Signaturdatei gespeichert hast. Zum Beispiel:
cd Downloads
  1. Importiere den Signaturschlüssel von Shift Crypto:
curl -L https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
  1. Überprüfe die Signaturdatei. Der Dateiname hängt von der BitBoxApp-Version ab, die du heruntergeladen hast:
gpg --verify "BitBox-4.51.0-win64-installer.exe.asc"

Du kannst auch im Windows Explorer bei gedrückter Umschalttaste mit der rechten Maustaste auf die .asc-Signaturdatei klicken, Als Pfad kopieren auswählen und den Pfad in die Eingabeaufforderung einfügen.

Signatur unter macOS überprüfen

Unter macOS verwendest du Terminal und GPG, um die heruntergeladene BitBoxApp-DMG-Datei zu überprüfen.

macOS-Notarisierung

Die BitBoxApp ist von Apple notarisiert. macOS führt beim ersten Öffnen der App eigene Überprüfungen durch. Die manuelle GPG-Signaturprüfung ist optional und vor allem dann hilfreich, wenn du eine unabhängige kryptografische Überprüfung durchführen möchtest.

  1. Öffne Terminal, indem du Befehlstaste + Leertaste drückst, Terminal eingibst und Enter drückst.
  2. Installiere GPG. Wenn du Homebrew verwendest, führe aus:
brew install gpg

Alternativ kannst du GPG mit der GPG Suite installieren.

  1. Bestätige, dass GPG installiert ist:
gpg --version
  1. Wechsle in den Ordner, in dem du die BitBoxApp-DMG-Datei und die passende .asc-Signaturdatei gespeichert hast. Zum Beispiel:
cd ~/Downloads
  1. Importiere den Signaturschlüssel von Shift Crypto:
curl -L https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
  1. Überprüfe die Signaturdatei. Der Dateiname hängt von der BitBoxApp-Version ab, die du heruntergeladen hast:
gpg --verify BitBox-4.51.0-macOS.dmg.asc

Du kannst die .asc-Signaturdatei aus Finder per Drag-and-drop in das Terminalfenster ziehen, um den vollständigen Pfad einzufügen.

Signatur unter Linux überprüfen

Unter Linux verwendest du ein Terminal und GPG, um die heruntergeladene BitBoxApp-Installationsdatei zu überprüfen.

  1. Öffne ein Terminal. Auf vielen Linux-Desktops kannst du Strg + Alt + T drücken. Du kannst auch dein App-Menü öffnen, nach Terminal suchen und es dort öffnen.
  2. Bestätige, dass GPG installiert ist:
gpg --version

Falls GPG nicht installiert ist, installiere es mit dem Paketmanager deiner Distribution. Zum Beispiel:

sudo apt install gnupg
sudo dnf install gnupg2
  1. Lade die BitBoxApp-Installationsdatei und die passende .asc-Signaturdatei für deine Linux-Distribution herunter:
  • Debian, Ubuntu oder Linux Mint: .deb-Datei und passende .deb.asc-Signaturdatei.
  • Fedora: .rpm-Datei und passende .rpm.asc-Signaturdatei.
  • Andere Linux-Distributionen: .AppImage-Datei und passende .AppImage.asc-Signaturdatei.
  1. Wechsle in den Ordner, in dem du beide Dateien gespeichert hast. Zum Beispiel:
cd ~/Downloads
  1. Importiere den Signaturschlüssel von Shift Crypto:
curl -L https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
  1. Überprüfe die Signaturdatei. Der Dateiname hängt von der BitBoxApp-Version und dem Typ der Installationsdatei ab, die du heruntergeladen hast:
gpg --verify bitbox_4.51.0_amd64.deb.asc

Du kannst beim Eingeben des Dateinamens Tab drücken, um ihn automatisch zu vervollständigen. Stelle sicher, dass der Dateiname mit .asc endet.

Signatur unter Android überprüfen

Du kannst die BitBoxApp-APK auf einem Desktop-Computer überprüfen, indem du die APK-Datei und die passende .apk.asc-Signaturdatei herunterlädst und anschließend die Schritte für Windows, macOS oder Linux verwendest. Du kannst sie auch direkt auf Android mit Termux überprüfen.

Die direkte Überprüfung auf Android richtet sich an fortgeschrittene Nutzer, die mit einer Terminal-App vertraut sind.

  1. Installiere Termux über F-Droid.
  2. Installiere GPG:
pkg install gnupg -y
  1. Importiere den Signaturschlüssel von Shift Crypto:
curl -L https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
  1. Lade die APK-Datei und die passende .apk.asc-Signaturdatei von der offiziellen BitBoxApp-GitHub-Seite für Releases herunter.
  2. Lade die APK-Datei in Termux herunter. Ersetze die folgende URL durch den APK-Link:
curl -LO https://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.51.0/BitBox-4.51.0-android.apk
  1. Lade die passende Signaturdatei herunter. Ersetze die folgende URL durch den passenden .apk.asc-Link:
curl -LO https://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.51.0/BitBox-4.51.0-android.apk.asc

  1. Überprüfe die Signaturdatei:
gpg --verify BitBox-4.51.0-android.apk.asc

Überprüfungsergebnis prüfen

Eine erfolgreiche Überprüfung sollte die Meldung "Good signature from ShiftCrypto Security" sowie den erwarteten Fingerabdruck des Signaturschlüssels anzeigen.

Die Ausgabe sollte Folgendes enthalten:

gpg: Good signature from "ShiftCrypto Security <security@shiftcrypto.ch>"

Außerdem sollte dieser primäre Fingerabdruck angezeigt werden:

DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE

Wenn beides angezeigt wird und der Fingerabdruck exakt übereinstimmt, war die Signaturprüfung erfolgreich.

Falls GPG in der Überprüfungsausgabe nicht den vollständigen Fingerabdruck anzeigt, führe aus:

gpg --fingerprint security@shiftcrypto.ch

Überprüfe dann, ob der angezeigte Fingerabdruck exakt mit dem oben gezeigten offiziellen Shift-Crypto-Fingerabdruck übereinstimmt.

Überprüfung erfolgreich

Wenn GPG eine Good signature meldet und der Fingerabdruck exakt mit dem offiziellen Shift-Crypto-Fingerabdruck übereinstimmt, wurde die heruntergeladene BitBoxApp-Installationsdatei erfolgreich überprüft.

Erwartete GPG-Vertrauenswarnung

Möglicherweise zeigt GPG eine Warnung an, dass der Schlüssel nicht mit einer vertrauenswürdigen Signatur zertifiziert ist. Diese Warnung ist zu erwarten, wenn der Signaturschlüssel von Shift Crypto in deinem lokalen GPG-Schlüsselbund nicht ausdrücklich als vertrauenswürdig markiert wurde. Wichtig sind die gültige Signatur und der passende Fingerabdruck.

Wenn die Signaturprüfung fehlschlägt

Öffne, installiere oder führe die heruntergeladene Installationsdatei nicht aus, wenn GPG eine ungültige Signatur meldet, der Fingerabdruck nicht übereinstimmt oder die Signaturdatei nicht zur Installationsdatei passt.

Installationsdatei erneut herunterladen

Lösche die heruntergeladene Installationsdatei und die passende Signaturdatei. Lade anschließend beide erneut von der offiziellen BitBoxApp-Downloadseite oder aus dem offiziellen BitBoxApp-GitHub-Repository für Releases herunter.

Falls die Signaturprüfung nach dem erneuten Herunterladen weiterhin fehlschlägt, kontaktiere den BitBox Support über das offizielle Support-Kontaktformular, bevor du fortfährst.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Prüfsummenprüfung und Signaturprüfung?

Die Prüfsummenprüfung bestätigt, dass die heruntergeladene Datei mit der von BitBox veröffentlichten Datei übereinstimmt. Sie prüft die Dateiintegrität mit einer SHA-256-Prüfsumme.

Die Signaturprüfung bestätigt, wer die Installationsdatei signiert hat. Sie prüft, dass die Installationsdatei mit dem offiziellen Signaturschlüssel von Shift Crypto signiert und nach der Signierung nicht verändert wurde.

Muss ich die Signatur überprüfen, um die BitBoxApp zu verwenden?

Nein. Die Signaturprüfung ist optional. Sie ist eine fortgeschrittene Überprüfung für Nutzer, die vor dem Öffnen der heruntergeladenen BitBoxApp-Installationsdatei eine zusätzliche Bestätigung möchten.

Kann ich die BitBoxApp-Signatur nach der Installation überprüfen?

Nein. Die Signaturprüfung bestätigt nur die Authentizität der heruntergeladenen BitBoxApp-Installationsdatei. Überprüfe die Signatur, bevor du die BitBoxApp öffnest oder installierst.

Welche Datei soll ich überprüfen?

Überprüfe die heruntergeladene BitBoxApp-Installationsdatei mithilfe der passenden .asc-Signaturdatei. Je nach Betriebssystem kann das die Windows-Installationsdatei, das macOS-Disk-Image, das Linux-Paket, die AppImage-Datei oder die Android-APK-Datei sein.

Überprüfe nicht die installierte BitBoxApp oder extrahierte Inhalte.

Wo finde ich die Signaturdatei?

Du findest BitBoxApp-Installationsdateien und die passenden .asc-Signaturdateien im offiziellen BitBoxApp-GitHub-Repository für Releases. Öffne das Release, das zu deiner BitBoxApp-Version passt, und klappe Assets auf.

Warum zeigt GPG eine Vertrauenswarnung an?

GPG kann warnen, dass der Schlüssel nicht mit einer vertrauenswürdigen Signatur zertifiziert ist. Diese Warnung ist zu erwarten, wenn der Signaturschlüssel von Shift Crypto in deinem lokalen GPG-Schlüsselbund nicht ausdrücklich als vertrauenswürdig markiert wurde. Fahre nur fort, wenn GPG eine gültige Signatur meldet und der Fingerabdruck exakt mit dem offiziellen Shift-Crypto-Fingerabdruck übereinstimmt.

Was soll ich tun, wenn die Signatur ungültig ist oder der Fingerabdruck nicht übereinstimmt?

Öffne, installiere oder führe die Datei nicht aus. Lösche die heruntergeladene Installationsdatei und die passende Signaturdatei. Lade anschließend beide erneut von der offiziellen BitBoxApp-Downloadseite oder aus dem offiziellen BitBoxApp-GitHub-Repository für Releases herunter. Falls die Überprüfung weiterhin fehlschlägt, kontaktiere den BitBox Support, bevor du fortfährst.

Related Articles

Was this article helpful?

Give feedback about this article