Auf macOS ist unsere App von Apple notariell beglaubigt. Das bedeutet, dass macOS die Signatur automatisch überprüft, wenn du die BitBoxApp zum ersten Mal öffnest. Sollte die App manipuliert worden sein, würde macOS eine ausdrückliche Warnung anzeigen. Aus diesem Grund ist eine manuelle Überprüfung im Allgemeinen nicht notwendig, es sei denn, du möchtest eine unabhängige Prüfung durchführen.
Beachte, dass die unten gezeigte allgemeine Warnung normal ist und immer dann angezeigt wird, wenn du eine aus dem Internet heruntergeladene App zum ersten Mal öffnest. Du kannst die BitBoxApp sicher weiterverwenden, wenn du diese Meldung siehst:
.jpeg)
Voraussetzungen
Du benötigst GPG (GNU Privacy Guard) auf deinem System.
-
Homebrew: Wenn du Homebrew hast, öffne das Terminal und führe
brew install gpg
aus. -
Direkter Download: Alternativ kannst du die GPG Suite herunterladen und installieren von:
https://gpgtools.org/
Um die Installation zu bestätigen, führe gpg --version
in einem Terminalfenster aus.
Schritt 1: Lade die notwendigen Dateien herunter
Gehe zur offiziellen GitHub-Seite der BitBoxApp-Releases. Lade sowohl die .dmg
-Anwendungsdatei als auch die zugehörige .dmg.asc
-Signaturdatei herunter. Speichere beide im selben Ordner (z. B. Downloads).
Schritt 2: Öffne das Terminal
Du findest die Terminal-App über die Spotlight-Suche (CMD + Leertaste) oder in deinem Anwendungsordner. Wechsle für mehr Komfort mit dem cd
-Befehl in den Ordner, der deine heruntergeladenen Dateien enthält (z. B. cd Downloads
).
Schritt 3: Importiere den BitBox-Signaturschlüssel
Um unsere Signatur zu überprüfen, musst du zuerst unseren entsprechenden öffentlichen Schlüssel importieren, den du auf unserer Webseite herunterladen kannst. Die mit dem Schlüssel verbundene E-Mail-Adresse ist security@shiftcrypto.ch und der Fingerabdruck des Schlüssels lautet DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
.
Um den Schlüssel herunterzuladen und in GPG zu importieren, führe diesen Befehl im Terminalfenster aus:
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
Dadurch wird der Schlüssel mit curl
heruntergeladen und an gpg
zum Importieren übergeben.
Schritt 4: Überprüfe die Anwendungssignatur
Führe nun den Befehl gpg --verify
aus und gib den Pfad zur .dmg.asc
-Datei an. Der Dateiname ändert sich je nach heruntergeladener Version.
gpg --verify BitBox-4.47.3-macOS.dmg.asc
Tipp: Du kannst die .asc
-Datei aus deinem Finder-Fenster direkt in das Terminalfenster ziehen, um den vollständigen Pfad automatisch einzufügen.
Die Ausgabe des Befehls sollte die folgenden zwei Dinge enthalten:
- Den Text
gpg: Gute Signatur von "ShiftCrypto Security <security@shiftcrypto.ch>"
. - Den primären Schlüsselfingerabdruck:
DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
.
Sofern die Signatur gültig ist, sieht die Ausgabe etwa so aus:
.jpeg)
Du kannst dieser Signatur vertrauen, wenn der Fingerabdruck des Schlüssels mit DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
übereinstimmt, welcher auch bei jedem Release auf GitHub angezeigt wird.
Hinweis: Wahrscheinlich siehst du eine Warnung mit dem Text: „Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert.“ Das ist zu erwarten und bedeutet lediglich, dass du GPG nicht explizit angewiesen hast, unserem Schlüssel zu vertrauen.