Verifica la firma del archivo de instalación de BitBoxApp que descargaste antes de instalarlo o ejecutarlo. La verificación de la firma confirma que el archivo de instalación fue firmado por Shift Crypto y no ha sido modificado desde que fue firmado.
La verificación de la firma es opcional y está pensada para usuarios avanzados que quieren realizar una verificación criptográfica adicional antes de abrir el archivo de instalación descargado.
Antes de comenzar
Antes de verificar la firma, asegúrate de tener el archivo de instalación descargado de BitBoxApp, el archivo de firma .asc correspondiente y GPG instalado en tu dispositivo.
- Descarga BitBoxApp únicamente desde la página oficial de descarga de BitBoxApp o desde el repositorio oficial de versiones de BitBoxApp en GitHub.
- Descarga el archivo de instalación de BitBoxApp para tu sistema operativo y el archivo de firma
.asccorrespondiente desde la misma versión de BitBoxApp. El archivo de instalación puede ser el instalador de Windows (.exe), la imagen de disco de macOS (.dmg), el paquete de Linux (.debo.rpm), el archivo AppImage o el archivo APK de Android. En este artículo, todos ellos se denominan archivo de instalación. - Guarda el archivo de instalación y el archivo de firma
.asccorrespondiente en la misma carpeta.
Verifica el archivo de instalación descargado, no la BitBoxApp instalada ni el contenido extraído. El archivo de firma .asc debe coincidir exactamente con el archivo de instalación que descargaste.
Verificación de suma de comprobación y verificación de firma
La verificación de suma de comprobación y la verificación de firma son comprobaciones separadas.
La verificación de suma de comprobación compara la suma de comprobación SHA-256 de tu archivo de instalación descargado con la suma de comprobación publicada por BitBox. Confirma que el archivo descargado es idéntico, bit por bit, al archivo publicado para esa versión.
La verificación de firma comprueba la firma del archivo de instalación con la clave de firma oficial de Shift Crypto. Confirma que el archivo de instalación fue firmado por Shift Crypto y no fue modificado después de ser firmado.
Si quieres realizar la verificación manual más completa, primero verifica la suma de comprobación del archivo de instalación descargado de BitBoxApp (SHA-256) y después verifica la firma del archivo de instalación con los pasos siguientes.
Qué confirma la verificación de firma
Cada versión de BitBoxApp incluye un archivo de firma .asc separado. GPG utiliza el archivo de firma .asc y la clave pública de firma de Shift Crypto para verificar el archivo de instalación descargado.
La clave de firma oficial utiliza la siguiente identidad y huella digital:
- Correo electrónico:
security@shiftcrypto.ch - Huella digital:
DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
Continúa solo si la huella digital mostrada por GPG coincide exactamente con la huella digital oficial de Shift Crypto mostrada arriba.
Elige tu sistema operativo:
Verificar la firma en Windows
En Windows, utiliza Gpg4win y el Símbolo del sistema para verificar el instalador descargado de BitBoxApp.
- Instala Gpg4win.
- Abre el Símbolo del sistema: selecciona Inicio, escribe
cmdy pulsa Enter. - Confirma que GPG está instalado:
gpg --version- Ve a la carpeta donde guardaste el instalador de BitBoxApp y el archivo de firma
.asccorrespondiente. Por ejemplo:
cd Downloads- Importa la clave de firma de Shift Crypto:
curl -L https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import- Verifica el archivo de firma. El nombre del archivo depende de la versión de BitBoxApp que descargaste:
gpg --verify "BitBox-4.51.0-win64-installer.exe.asc"También puedes mantener pulsada la tecla Shift, hacer clic derecho en el archivo de firma .asc en el Explorador de archivos, seleccionar Copiar como ruta de acceso y pegar la ruta en el Símbolo del sistema.
Verificar la firma en macOS
En macOS, utiliza Terminal y GPG para verificar el archivo DMG descargado de BitBoxApp.
BitBoxApp está notarizada por Apple. macOS realiza sus propias comprobaciones cuando abres la app por primera vez. La verificación manual de la firma con GPG es opcional y resulta útil principalmente si quieres hacer una comprobación criptográfica independiente.
Abre Terminal pulsando Comando + Espacio, escribiendo Terminal y pulsando Enter.
- Instala GPG. Si usas Homebrew, ejecuta:
brew install gpgTambién puedes instalar GPG con GPG Suite.
- Confirma que GPG está instalado:
gpg --version- Ve a la carpeta donde guardaste el archivo DMG de BitBoxApp y el archivo de firma
.asccorrespondiente. Por ejemplo:
cd ~/Downloads- Importa la clave de firma de Shift Crypto:
curl -L https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import- Verifica el archivo de firma. El nombre del archivo depende de la versión de BitBoxApp que descargaste:
gpg --verify BitBox-4.51.0-macOS.dmg.ascPuedes arrastrar y soltar el archivo de firma .asc desde Finder a la ventana de Terminal para insertar su ruta completa.
Verificar la firma en Linux
En Linux, utiliza una terminal y GPG para verificar el archivo de instalación descargado de BitBoxApp.
- Abre una terminal. En muchos escritorios Linux puedes pulsar Ctrl + Alt + T. También puedes abrir el menú de aplicaciones, buscar Terminal y abrirla desde ahí.
- Confirma que GPG está instalado:
gpg --versionSi GPG no está instalado, instálalo con el gestor de paquetes de tu distribución. Por ejemplo:
sudo apt install gnupgsudo dnf install gnupg2- Descarga el archivo de instalación de BitBoxApp y el archivo de firma
.asccorrespondiente para tu distribución Linux:
- Debian, Ubuntu o Linux Mint: archivo
.deby archivo de firma.deb.asccorrespondiente. - Fedora: archivo
.rpmy archivo de firma.rpm.asccorrespondiente. - Otras distribuciones Linux: archivo
.AppImagey archivo de firma.AppImage.asccorrespondiente.
- Ve a la carpeta donde guardaste ambos archivos. Por ejemplo:
cd ~/Downloads- Importa la clave de firma de Shift Crypto:
curl -L https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import- Verifica el archivo de firma. El nombre del archivo depende de la versión de BitBoxApp y del tipo de archivo de instalación que descargaste:
gpg --verify bitbox_4.51.0_amd64.deb.ascPuedes pulsar Tab mientras escribes el nombre del archivo para autocompletarlo. Asegúrate de que el nombre del archivo termine en .asc.
Verificar la firma en Android
Puedes verificar el archivo APK de BitBoxApp en un ordenador de escritorio descargando el APK y el archivo de firma .apk.asc correspondiente, y luego siguiendo los pasos de Windows, macOS o Linux. También puedes verificarlo directamente en Android con Termux.
La verificación directa en Android está pensada para usuarios avanzados que se sienten cómodos usando una app de terminal.
- Instala Termux desde F-Droid.
- Instala GPG:
pkg install gnupg -y- Importa la clave de firma de Shift Crypto:
curl -L https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import- Descarga el APK y el archivo de firma
.apk.asccorrespondiente desde la página oficial de versiones de BitBoxApp en GitHub. - Descarga el archivo APK en Termux. Sustituye la URL siguiente por el enlace del APK:
curl -LO https://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.51.0/BitBox-4.51.0-android.apk- Descarga el archivo de firma
.apk.asccorrespondiente. Sustituye la URL siguiente por el enlace.apk.asccorrespondiente:
curl -LO https://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.51.0/BitBox-4.51.0-android.apk.asc
- Verifica el archivo de firma:
gpg --verify BitBox-4.51.0-android.apk.asc
Comprobar el resultado de la verificación
Una verificación correcta debería mostrar el mensaje "Good signature from ShiftCrypto Security" y la huella digital esperada de la clave de firma.
La salida debería incluir:
gpg: Good signature from "ShiftCrypto Security <security@shiftcrypto.ch>"También debería mostrar esta huella digital principal:
DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AESi ambos datos aparecen y la huella digital coincide exactamente, la verificación de la firma se realizó correctamente.
Si GPG no muestra la huella digital completa en la salida de verificación, ejecuta:
gpg --fingerprint security@shiftcrypto.chLuego verifica que la huella digital mostrada coincida exactamente con la huella digital oficial de Shift Crypto mostrada arriba.
Si GPG muestra una Good signature y la huella digital coincide exactamente con la huella digital oficial de Shift Crypto, el archivo de instalación descargado de BitBoxApp se ha verificado correctamente.
Es posible que GPG muestre una advertencia indicando que la clave no está certificada con una firma de confianza. Esta advertencia es esperada cuando la clave de firma de Shift Crypto no se ha marcado explícitamente como de confianza en tu llavero local de GPG. Lo importante es que GPG muestre una firma válida y que la huella digital coincida exactamente con la huella digital oficial de Shift Crypto.
Si la verificación de firma falla
No abras, instales ni ejecutes el archivo de instalación descargado si GPG informa de una firma no válida, si la huella digital no coincide o si el archivo de firma no corresponde al archivo de instalación.
Elimina el archivo de instalación descargado y el archivo de firma .asc correspondiente. Luego descarga ambos de nuevo desde la página oficial de descarga de BitBoxApp o desde el repositorio oficial de versiones de BitBoxApp en GitHub.
Si la verificación de firma sigue fallando después de descargar los archivos de nuevo, contacta con el soporte de BitBox mediante el formulario oficial de contacto de soporte antes de continuar.
Preguntas frecuentes
¿Cuál es la diferencia entre la verificación de suma de comprobación y la verificación de firma?
La verificación de suma de comprobación confirma que el archivo descargado coincide con el archivo publicado por BitBox. Comprueba la integridad del archivo con una suma de comprobación SHA-256.
La verificación de firma confirma quién firmó el archivo de instalación. Comprueba que el archivo de instalación fue firmado con la clave de firma oficial de Shift Crypto y que no fue modificado después de ser firmado.
¿Necesito verificar la firma para usar BitBoxApp?
No. La verificación de la firma es opcional. Es una comprobación avanzada para usuarios que quieren una confirmación adicional antes de abrir el archivo de instalación descargado de BitBoxApp.
¿Puedo verificar la firma de BitBoxApp después de instalar BitBoxApp?
No. La verificación de firma solo confirma la autenticidad del archivo de instalación descargado de BitBoxApp. Verifica la firma antes de abrir o instalar BitBoxApp.
¿Qué archivo debo verificar?
Verifica el archivo de instalación descargado de BitBoxApp utilizando su archivo de firma .asc correspondiente. Según tu sistema operativo, puede ser el instalador de Windows, la imagen de disco de macOS, el paquete de Linux, el archivo AppImage o el archivo APK de Android.
No verifiques la BitBoxApp instalada ni el contenido extraído.
¿Dónde puedo encontrar el archivo de firma?
Puedes encontrar los archivos de instalación de BitBoxApp y sus archivos de firma .asc correspondientes en el repositorio oficial de versiones de BitBoxApp en GitHub. Abre la versión que coincide con tu versión de BitBoxApp y despliega Assets.
¿Por qué GPG muestra una advertencia de confianza?
GPG puede advertir que la clave de firma de Shift Crypto no está certificada con una firma de confianza. Esta advertencia es esperada cuando la clave de firma de Shift Crypto no se ha marcado explícitamente como de confianza en tu llavero local de GPG. Continúa solo si GPG muestra una firma válida y la huella digital coincide exactamente con la huella digital oficial de Shift Crypto.
¿Qué debo hacer si la firma no es válida o la huella digital no coincide?
No abras, instales ni ejecutes el archivo. Elimina el archivo de instalación descargado y el archivo de firma .asc correspondiente. Luego descarga ambos de nuevo desde la página oficial de descarga de BitBoxApp o desde el repositorio oficial de versiones de BitBoxApp en GitHub. Si la verificación sigue fallando, contacta con el soporte de BitBox antes de continuar.