Table of Contents

Voraussetzungen Schritt 1: Benötigte Dateien herunterladen Schritt 2: Terminal öffnen Schritt 3: BitBox-Signaturschlüssel importieren (Empfohlen) Fingerabdruck prüfen Schritt 4: Anwendungssignatur überprüfen FAQ Was ist der Unterschied zwischen der Überprüfung der App-Signatur und der Überprüfung des Downloads? Muss ich das unter macOS überhaupt machen? Was tun bei „BAD signature“ oder falschem Fingerabdruck? Warum erscheint die Warnung „nicht mit einer vertrauenswürdigen Signatur zertifiziert“?

Die Überprüfung der digitalen Signatur der BitBoxApp ist eine erweiterte Sicherheitsmaßnahme. Sie bestätigt, dass die Software wirklich von Shift Crypto (BitBox) signiert wurde und seit der Signierung nicht verändert wurde.

Info (macOS): Die BitBoxApp ist von Apple notarisiert. Beim ersten Öffnen überprüft macOS die Signatur automatisch und zeigt eine Warnung an, falls die App manipuliert wurde. Die manuelle Überprüfung ist daher optional und vor allem sinnvoll, wenn du eine unabhängige kryptografische Kontrolle durchführen möchtest (z. B. in besonders sicherheitskritischen Umgebungen).

 

Info: Die unten gezeigte allgemeine Warnmeldung ist normal. Sie erscheint bei vielen Programmen, die erstmals aus dem Internet geöffnet werden. Wenn du die BitBoxApp aus einer offiziellen Quelle geladen hast, kannst du sie in diesem Fall bedenkenlos öffnen.

 

Voraussetzungen

Du benötigst GPG (GNU Privacy Guard).

  • Homebrew (empfohlen): Wenn du Homebrew nutzt, öffne das Terminal und führe aus:
    brew install gpg
  • Direkter Download: Alternativ kannst du die GPG Suite von gpgtools.org installieren.

Zur Kontrolle kannst du im Terminal ausführen:
gpg --version

Schritt 1: Benötigte Dateien herunterladen

Gehe zur offiziellen BitBoxApp-Releases-Seite auf GitHub:
BitBoxSwiss / bitbox-wallet-app 

Lade beide Dateien herunter:

  • die .dmg-Datei (Programm)
  • die passende .dmg.asc-Datei (Signatur)

Speichere beide im selben Ordner, z. B. Downloads.

Schritt 2: Terminal öffnen

Öffne das Terminal über Spotlight (CMD + Leertaste) oder im Programme-Ordner.

(Optional) In den Download-Ordner wechseln: cd ~/Downloads

Schritt 3: BitBox-Signaturschlüssel importieren

Für die Signaturprüfung brauchst du unseren öffentlichen Signaturschlüssel. Du kannst ihn hier herunterladen:
shiftcryptosec-gpg 

Schlüssel-Details:

  • E-Mail: security@shiftcrypto.ch
  • Fingerabdruck: DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE

Importiere den Schlüssel:

curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import

(Empfohlen) Fingerabdruck prüfen

Führe danach aus:

gpg --fingerprint security@shiftcrypto.ch

Der angezeigte Fingerabdruck muss exakt übereinstimmen mit:

DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE

Wichtig: Fahre nur fort, wenn der Fingerabdruck exakt übereinstimmt.

 

Schritt 4: Anwendungssignatur überprüfen

Führe den Befehl gpg --verify für die .dmg.asc-Datei aus (Dateiname je nach Version unterschiedlich):

gpg --verify BitBox-4.47.3-macOS.dmg.asc

Tipp: Du kannst die .asc-Datei aus dem Finder direkt in das Terminal ziehen, dann wird der vollständige Pfad automatisch eingefügt.

 

Die Ausgabe muss enthalten:

  1. gpg: Gute Signatur von "ShiftCrypto Security <security@shiftcrypto.ch>"
  2. den Fingerabdruck
    DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE

Wenn beides vorhanden ist und der Fingerabdruck übereinstimmt, war die Prüfung erfolgreich.

Hinweis (erwartete Warnung):
Möglicherweise erscheint: „Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert.“
Das ist normal und bedeutet nur, dass du den Schlüssel lokal noch nicht als vertrauenswürdig markiert hast.

 

FAQ

Was ist der Unterschied zwischen der Überprüfung der App-Signatur und der Überprüfung des Downloads?

Beide Prüfungen beantworten unterschiedliche Sicherheitsfragen:

Download-Überprüfung (Checksum / SHA-256):
Bestätigt, dass die heruntergeladene Datei bitgenau der veröffentlichten Datei entspricht.
→ schützt vor Übertragungsfehlern oder Manipulation während des Downloads

Signatur-Überprüfung (diese Anleitung):
Bestätigt, dass die Software wirklich von Shift Crypto signiert wurde und seit der Signierung nicht verändert wurde.
→ schützt vor gefälschter oder ausgetauschter Software

Best Practice für maximale Sicherheit:

  1. Checksum prüfen (Integrität)
  2. Signatur prüfen (Herausgeber)

Anleitung zur Download-Prüfung:
So überprüfst du die BitBoxApp-Prüfsumme (SHA-256) 

Muss ich das unter macOS überhaupt machen?

In der Regel nein. macOS überprüft dank Apple-Notarisierung automatisch die Signatur beim ersten Öffnen der App. Die manuelle Prüfung ist vor allem für Nutzer gedacht, die eine zusätzliche unabhängige Verifikation wünschen.

Was tun bei „BAD signature“ oder falschem Fingerabdruck?

Öffne die App nicht.
Lösche die Dateien und lade sie erneut von der offiziellen Quelle herunter.
Besteht das Problem weiterhin, kontaktiere den Support und sende:

  • BitBoxApp-Version
  • komplette gpg --verify-Ausgabe
  • Download-Quelle

Warum erscheint die Warnung „nicht mit einer vertrauenswürdigen Signatur zertifiziert“?

Diese Meldung ist normal. Sie bedeutet lediglich, dass du den Schlüssel lokal noch nicht in deiner persönlichen GPG-Vertrauensdatenbank bestätigt hast. Entscheidend ist nur:

  • „Gute Signatur“
  • korrekter Fingerabdruck

Related Articles

Was this article helpful?

Give feedback about this article