Die Überprüfung der digitalen Signatur der BitBoxApp ist eine erweiterte Sicherheitsmaßnahme, die bestätigt, dass du eine echte, von BitBox signierte Version hast. Dieser Prozess stellt sicher, dass die Anwendung nicht manipuliert wurde.
Obwohl dieser Schritt für fortgeschrittene Nutzer empfohlen wird, ist die BitBox02 Hardware-Wallet so konzipiert, dass sie auch dann sicher ist, wenn dein Computer kompromittiert ist. Sie vertraut der BitBoxApp nicht und akzeptiert keine unsignierte Firmware, wodurch deine privaten Schlüssel jederzeit geschützt sind.
Voraussetzungen
Du benötigst GPG (GNU Privacy Guard) auf deinem System. Für Windows empfehlen wir, Gpg4win herunterzuladen und zu installieren.
Öffne nach der Installation die Eingabeaufforderung und führe gpg --version
aus, um zu bestätigen, dass die Installation korrekt war.
Schritt 1: Lade die notwendigen Dateien herunter
Gehe zur offiziellen Seite der BitBoxApp-Versionen auf GitHub. Lade sowohl die .exe
-Installationsdatei als auch die zugehörige .exe.asc
-Signaturdatei herunter. Stelle sicher, dass beide Dateien im selben Verzeichnis gespeichert sind (z. B. in deinem Downloads-Ordner).
Zur offiziellen BitBoxApp Veröffentlichungsseite auf GitHub . Laden Sie sowohl die .exe
Installationsdatei als auch die zugehörige .exe.asc
Signaturdatei herunter. Stellen Sie sicher, dass beide Dateien im selben Verzeichnis gespeichert sind (z. B. im Downloads
Ordner).
Schritt 2: Öffne die Eingabeaufforderung
Öffne die Eingabeaufforderung, indem du cmd
in die Suchleiste des Startmenüs eingibst. Um es einfacher zu machen, navigiere zu deinem Downloads-Ordner, indem du cd Downloads
eingibst und die Eingabetaste drückst.
Schritt 3: Importiere den Signaturschlüssel von BitBox
Um unsere Signatur zu überprüfen, musst du zuerst unseren entsprechenden öffentlichen Schlüssel importieren, den du auf unserer Website herunterladen kannst. Die mit dem Schlüssel verknüpfte E-Mail ist security@shiftcrypto.ch
und der Fingerabdruck des Schlüssels lautet DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
.
Um den Schlüssel herunterzuladen und in GPG zu importieren, führe diesen Befehl im Fenster der Eingabeaufforderung aus:
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
Dieser Befehl lädt den Schlüssel mit curl
herunter und übergibt ihn zum Import an gpg
.
Schritt 4: Überprüfe die Anwendungssignatur
Jetzt kannst du die Echtheit des Installationsprogramms überprüfen. Führe den Befehl gpg --verify
gefolgt vom Namen der .asc
-Datei in Anführungszeichen aus.
Der Dateiname ändert sich je nach Version. Dieses Beispiel gilt für die Version 4.47.3:
gpg --verify "BitBox-4.47.3-win64-installer.exe.asc"
Tipp: Im Windows Explorer kannst du bei gedrückter Umschalttaste mit der rechten Maustaste auf die .asc
-Datei klicken, „Als Pfad kopieren“ auswählen und den Pfad dann in die Eingabeaufforderung einfügen.
Die Ausgabe des Befehls sollte die folgenden zwei Dinge enthalten:
- Den Text
gpg: Gute Signatur von "ShiftCrypto Security <security@shiftcrypto.ch>"
. - Den primären Schlüsselfingerabdruck:
DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
.
Wenn beides vorhanden ist, ist die Signatur gültig und die Ausgabe sieht etwa so aus:
Du kannst dieser Signatur vertrauen, wenn der Fingerabdruck des Schlüssels mit DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
übereinstimmt, der auch bei jeder Version auf GitHub angezeigt wird.
Hinweis: Du wirst wahrscheinlich eine Warnung sehen, die besagt: „Dieser Schlüssel ist nicht mit einem vertrauenswürdigen Schlüssel zertifiziert!“ Das ist zu erwarten und bedeutet lediglich, dass du GPG nicht explizit angewiesen hast, unserem Schlüssel zu vertrauen.