Verificar la descarga de la BitBoxApp garantiza que se trata de la versión original firmada por BitBox. Si bien no es estrictamente necesario, es una buena práctica de seguridad detectar si el archivo fue manipulado durante la descarga o si ni siquiera se originó en BitBox.
En general, la BitBox02 no confía en el dispositivo anfitrión, incluida la BitBoxApp, y no acepta versiones de firmware sin firmar, lo que significa que ni siquiera una BitBoxApp manipulada podría acceder a sus claves privadas y robar sus monedas. Por este motivo, es seguro utilizar la BitBoxApp y la BitBox02, incluso sin verificar primero la descarga.
En macOS, nuestra firma se verifica automáticamente cuando intentamos abrir la aplicación por primera vez, según las pautas de certificación de macOS . Por este motivo, no es necesario verificar la firma manualmente si confías en que el proceso de verificación de Apple no está comprometido. Recibirás una advertencia explícita cuando intentes abrir BitBoxApp por primera vez, si se detecta una manipulación.
Ten en cuenta que la advertencia general que se muestra a continuación es normal y aparece cada vez que abres una aplicación descargada de Internet por primera vez. Puedes continuar usando la BitBoxApp de manera segura si ves este mensaje:
Si aún deseas continuar con la verificación manual, consulta los pasos que se describen a continuación.
¡Esta guía también está disponible para Windows y Linux !
Preliminares
Asegúrate de que GPG (GNU Privacy Guard) esté instalado en tu Mac. Puedes descargar e instalar una versión de GPG para macOS aquí .
Como alternativa, si tiene instalado en su Mac el popular gestor de paquetes Homebrew, puede instalar fácilmente GPG con brew install gpg
. Consulte la información en el sitio web de Homebrew para obtener más información sobre cómo instalar o utilizar Homebrew.
Puede verificar que GPG esté instalado en su Mac ejecutando gpg --version
en una ventana de Terminal (recibirá un error o la versión instalada) y continuar con los pasos de verificación a continuación.
Paso 1: Descarga la aplicación y la firma
Primero, deberás descargar tanto la BitBoxApp como su archivo de firma correspondiente. Puedes descargar el archivo .dmg
para la BitBoxApp y el archivo de firma .dmg.asc
desde nuestra página de lanzamientos oficiales en GitHub .
Descarga ambos archivos y asegúrate de que estén en la misma carpeta.
Paso 2: Abre la terminal
Abre una nueva ventana de Terminal. Puedes acceder rápidamente a la Terminal mediante la búsqueda de Spotlight ( CMD + Espacio ) o buscándola en Launchpad.
Si lo desea, puede navegar a la carpeta que contiene los archivos descargados (por ejemplo, con cd Downloads
).
Paso 3: Importar nuestra clave pública
Para verificar nuestra firma, primero debes importar nuestra clave pública correspondiente, que puedes descargar en nuestro sitio web . El correo electrónico asociado a la clave es security@shiftcrypto.ch y la huella digital de la clave es DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
.
Para descargar e importar la clave en GPG, ejecuta este comando en la ventana de Terminal:
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
Esto descargará la clave usando curl
y se la entregará a gpg
para su importación.
Paso 4: Verificación de la firma
Ahora que ha importado nuestra clave pública y descargado el archivo .dmg
y el archivo de firma, finalmente puede verificar que la firma es realmente válida, lo que confirma que la BitBoxApp que descargó proviene de BitBox.
Los nombres de archivo en el siguiente comando variarán según la versión que hayas descargado (v4.41.0 en este caso). Asegúrate también de que estás en la ruta correcta (directorio "Descargas" en este caso) o usa el nombre de ruta completo en su lugar. Para insertar instantáneamente el nombre de ruta correcto y completo, simplemente arrastra y suelta el archivo de firma en la ventana de Terminal.
Verifica la firma con el siguiente comando, proporcionando la ruta relativa o completa al archivo de firma .dmg.asc
como argumento:
gpg --verify BitBox-4.43.0-macOS.dmg.asc
Siempre que la firma sea válida, el resultado será similar al siguiente:
Puedes confiar en esta firma si la huella digital de la clave coincide con DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
, que también se muestra en cada lanzamiento en GitHub.
Nota: Es probable que veas la advertencia "¡Esta clave no está certificada con una firma confiable!", como se muestra en la captura de pantalla anterior. Esto es de esperar, ya que tu instalación de GPG acaba de conocer esta clave y no le has indicado que confíe en ella explícitamente.