BitBoxApp-Signatur unter macOS überprüfen

Table of Contents

Voraussetzungen Schritt 1: Lade die notwendigen Dateien herunter Schritt 2: Öffne das Terminal Schritt 3: Importiere den BitBox-Signaturschlüssel Schritt 4: Überprüfe die Anwendungssignatur

Auf macOS ist unsere App von Apple notariell beglaubigt. Das bedeutet, dass macOS die Signatur automatisch überprüft, wenn du die BitBoxApp zum ersten Mal öffnest. Sollte die App manipuliert worden sein, würde macOS eine ausdrückliche Warnung anzeigen. Aus diesem Grund ist eine manuelle Überprüfung im Allgemeinen nicht notwendig, es sei denn, du möchtest eine unabhängige Prüfung durchführen.

Beachte, dass die unten gezeigte allgemeine Warnung normal ist und immer dann angezeigt wird, wenn du eine aus dem Internet heruntergeladene App zum ersten Mal öffnest. Du kannst die BitBoxApp sicher weiterverwenden, wenn du diese Meldung siehst:

Voraussetzungen

Du benötigst GPG (GNU Privacy Guard) auf deinem System.

Homebrew: Wenn du Homebrew hast, öffne das Terminal und führe brew install gpg aus.
Direkter Download: Alternativ kannst du die GPG Suite herunterladen und installieren von: https://gpgtools.org/

Um die Installation zu bestätigen, führe gpg --version in einem Terminalfenster aus.

Schritt 1: Lade die notwendigen Dateien herunter

Gehe zur offiziellen GitHub-Seite der BitBoxApp-Releases. Lade sowohl die .dmg-Anwendungsdatei als auch die zugehörige .dmg.asc-Signaturdatei herunter. Speichere beide im selben Ordner (z. B. Downloads).

Schritt 2: Öffne das Terminal

Du findest die Terminal-App über die Spotlight-Suche (CMD + Leertaste) oder in deinem Anwendungsordner. Wechsle für mehr Komfort mit dem cd-Befehl in den Ordner, der deine heruntergeladenen Dateien enthält (z. B. cd Downloads).

Schritt 3: Importiere den BitBox-Signaturschlüssel

Um unsere Signatur zu überprüfen, musst du zuerst unseren entsprechenden öffentlichen Schlüssel importieren, den du auf unserer Webseite herunterladen kannst. Die mit dem Schlüssel verbundene E-Mail-Adresse ist security@shiftcrypto.ch und der Fingerabdruck des Schlüssels lautet DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.

Um den Schlüssel herunterzuladen und in GPG zu importieren, führe diesen Befehl im Terminalfenster aus:

curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import

Dadurch wird der Schlüssel mit curl heruntergeladen und an gpg zum Importieren übergeben.

Schritt 4: Überprüfe die Anwendungssignatur

Führe nun den Befehl gpg --verify aus und gib den Pfad zur .dmg.asc-Datei an. Der Dateiname ändert sich je nach heruntergeladener Version.

gpg --verify BitBox-4.47.3-macOS.dmg.asc

Tipp: Du kannst die .asc-Datei aus deinem Finder-Fenster direkt in das Terminalfenster ziehen, um den vollständigen Pfad automatisch einzufügen.

Die Ausgabe des Befehls sollte die folgenden zwei Dinge enthalten:

Den Text gpg: Gute Signatur von "ShiftCrypto Security <security@shiftcrypto.ch>".
Den primären Schlüsselfingerabdruck: DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.

Sofern die Signatur gültig ist, sieht die Ausgabe etwa so aus:

Du kannst dieser Signatur vertrauen, wenn der Fingerabdruck des Schlüssels mit DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE übereinstimmt, welcher auch bei jedem Release auf GitHub angezeigt wird.

Hinweis: Wahrscheinlich siehst du eine Warnung mit dem Text: „Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert.“ Das ist zu erwarten und bedeutet lediglich, dass du GPG nicht explizit angewiesen hast, unserem Schlüssel zu vertrauen.