Den Download der BitBoxApp zu verifizieren stellt sicher, dass du eine echte Version heruntergeladen hast, die von BitBox signiert wurde.
Obwohl die Verifizierung der App eine gute Sicherheitspraxis ist, ist sie für die sichere Nutzung deiner BitBox nicht unbedingt erforderlich. Die BitBox vertraut deinem Endgerät, einschließlich der BitBoxApp, nicht. Das bedeutet, dass selbst eine manipulierte App keinen direkten Zugriff auf deine Wallet hat. Gib deine Wiederherstellungswörter niemals auf dem Computer oder Smartphone ein.
Diese Anleitung für Android unterstützt dich Schritt-für-Schritt, wenn du dennoch mit der manuellen Signaturüberprüfung fortfahren möchtest.
Tipp: Wenn du einen Desktop-Computer oder Laptop zur Hand hast, ist es möglicherweise einfacher, die App-Signatur von dort aus zu überprüfen, insbesondere wenn du bereits mit GPG vertraut bist. Diese Anleitung richtet sich an Benutzer, die nur Zugriff auf ein Android-Gerät haben und/oder anderen Geräten bei der Signaturüberprüfung nicht vertrauen möchten.
Vorbereitungen
Wir nutzen einen Terminal-Emulator, um GPG zu installieren und die App-Signatur zu überprüfen, ähnlich wie unter Linux oder macOS. Für diese Anleitung verwenden wir Termux (F-Droid | Google Play), du kannst aber auch andere Terminal-Software verwenden. Der Ablauf sollte relativ ähnlich bleiben.
- Installiere Termux auf deinem Android-Gerät und öffne die App.
- Installiere als nächstes GPG, indem du im Terminal folgenden Befehl eintippst und bestätigst:
pkg install gnupg -y
(Für Experten: Ein Download-Mirror wird automatisch ausgewählt. Wenn du manuell einen konfigurieren möchtest, führetermux-change-repoaus.)
- Überprüfe, ob die Installation erfolgreich war, indem du folgenden Befehl ausführst:
gpg --version
- Lade den öffentlichen Schlüssel von BitBox mit diesem Befehl herunter, um ihn in GPG zu importieren:
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
Der Fingerabdruck des Schlüssels lautetDD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.
- Um
wgetzum Herunterladen von Dateien zu verwenden, installiere es mit:pkg install wget -y
Super, wir sind nun bereit, mit dem Download und der Signaturprüfung fortzufahren! Du kannst diesen Schritt künftig überspringen.
Herunterladen der App
Um die APK-Datei und ihre Signatur direkt in Termux zu verifizieren, laden wir sie mit wget innerhalb der App herunter und geben dazu direkt die Download-URL an. Dadurch benötigt Termux keine Berechtigung für den Zugriff auf Dateien anderer Apps. Den neuesten Download-Link findest du auf unserer GitHub-Release-Seite oder der Download-Seite unserer Website.
Beispielhaft verwenden wir für diese Anleitung den Download-Link für v4.47.0, stelle jedoch sicher, dass du ihn auf die neueste Version aktualisierst.
- Lade die APK-Datei herunter mit:
wgethttps://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.47.0/BitBox-4.47.0-android.apk
- Und die Signaturdatei durch Hinzufügen von
.ascam Ende:wgethttps://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.47.0/BitBox-4.47.0-android.apk.asc
- Wenn du
lsausführst, sollten jetzt beide Dateien angezeigt werden.
Überprüfung der Signatur
Um die Signatur abschließend zu überprüfen, führe einfach gpg --verify aus und gib die .asc Signaturdatei an, beispielsweise im Fall von v4.47.0:
gpg --verify BitBox-4.47.0-android.apk.asc
Du solltest nun eine Ausgabe mit „Good signature […]“ und Informationen zum Signaturschlüssel sehen, z. B. den Fingerabdruck DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.
Hinweis: Die Warnung „This key is not certified with a trusted signature!“ ist in diesem Fall normal und kann ignoriert werden.
Du kannst jetzt mit der Installation der BitBoxApp fortfahren. Navigiere über den Datei-Explorer zu den App-spezifischen Dateien von Termux. Dort findest du die APK-Datei wieder und kannst sie regulär installieren.
