Verificar la descarga de la BitBoxApp garantiza que se trata de la versión original firmada por BitBox. Si bien no es estrictamente necesario, es una buena práctica de seguridad detectar si el archivo fue manipulado durante la descarga o si ni siquiera se originó en BitBox.
Por lo general, la BitBox02 no confía en el dispositivo anfitrión, incluida la BitBoxApp, y no acepta versiones de firmware sin firmar, lo que significa que ni siquiera una BitBoxApp manipulada podría acceder a sus claves privadas y robar sus monedas. Por este motivo, es seguro utilizar la BitBoxApp y la BitBox02, incluso sin verificar primero la descarga.
Esta guía para usuarios de Windows está aquí para ayudarte en cada paso del proceso, si aún quieres continuar con la verificación manual de la firma.
¡Esta guía también está disponible para Linux y macOS !
Preliminares
Asegúrate de que GPG (GNU Privacy Guard) esté instalado en tu sistema Windows. Puedes descargar e instalar la versión para Windows de Gpg4win aquí .
Puedes verificar que GPG esté instalado en tu sistema ejecutando gpg --version
en un símbolo del sistema o una ventana de PowerShell (recibirá un error o la versión instalada) y continuar con los pasos de verificación a continuación.
Paso 1: Descarga la aplicación y la firma
Primero, deberás descargar el instalador de BitBoxApp y su archivo de firma correspondiente. Puedes descargar el archivo de instalación .exe
para BitBoxApp y el archivo de firma .exe.asc
desde nuestra página de lanzamientos oficiales en GitHub .
Descarga ambos archivos y asegúrate de que estén en la misma carpeta.
Paso 2: Abra el símbolo del sistema
Para la verificación real, utilizaremos el Símbolo del sistema estándar de Windows (cmd.exe). Ábrelo buscando "cmd" en la barra de búsqueda o ingresando "cmd.exe" después de presionar Windows + R. Si quieres, puedes navegar hasta la carpeta que contiene los archivos descargados (por ejemplo, con cd Downloads
).
Paso 3: Importar nuestra clave pública
Para verificar nuestra firma, primero debes importar nuestra clave pública correspondiente, que puedes descargar en nuestro sitio web . El correo electrónico asociado a la clave es security@shiftcrypto.ch y la huella digital de la clave es DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
.
Para descargar e importar la clave en GPG, ejecuta este comando en la ventana del símbolo del sistema:
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
Esto descargará la clave usando curl
y se la entregará a gpg
para su importación.
Paso 4: Verificación de la firma
Ahora que has importado nuestra clave pública y descargado el archivo de instalación y de firma, finalmente puedes verificar que la firma es realmente válida, lo que confirma que la BitBoxApp que descargaste proviene de BitBox.
Los nombres de archivo en el siguiente comando variarán según la versión que hayas descargado (v4.41.0 en este caso). Asegúrate también de que estás en la ruta correcta (directorio "Descargas" en este caso) o utiliza el nombre de ruta completo. Para obtener el nombre de ruta completo, simplemente haz clic derecho en el archivo en el explorador de Windows y selecciona "Copiar ruta".
Verifica la firma con el siguiente comando, proporcionando la ruta relativa o completa al archivo de firma .exe.asc
como argumento:
gpg --verify "BitBox-4.39.0-win64-installer.exe.asc"
Siempre que la firma sea válida, el resultado será similar al siguiente:
Puedes confiar en esta firma si la huella digital de la clave coincide con DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
, que también se muestra para cada lanzamiento en GitHub.
Nota: Es probable que veas la advertencia "¡Esta clave no está certificada con una firma confiable!", como se muestra en la captura de pantalla anterior. Esto es de esperar, ya que tu instalación de GPG acaba de conocer esta clave y no le has indicado explícitamente que confíe en ella. Por lo tanto, puedes ignorar esta advertencia.