Verificar la firma digital de la BitBoxApp es una medida de seguridad avanzada que confirma que tienes una versión genuina firmada por BitBox. Este proceso asegura que la aplicación no ha sido manipulada.
Aunque este paso se recomienda para usuarios avanzados, la hardware wallet BitBox02 está diseñada para ser segura incluso si tu ordenador está comprometido. No confía en la BitBoxApp y no aceptará firmware sin firmar, protegiendo tus claves privadas en todo momento.
Requisitos previos
La mayoría de las distribuciones de Linux vienen con GPG (GNU Privacy Guard) preinstalado. Puedes comprobarlo abriendo un terminal y ejecutando gpg --version. Si no está instalado, utiliza el gestor de paquetes de tu distribución para instalarlo (por ejemplo, sudo apt install gnupg en Debian/Ubuntu o sudo dnf install gnupg2 en Fedora).
Paso 1: Descarga los archivos necesarios
Navega a la página oficial de lanzamientos de la BitBoxApp en GitHub. Descarga tanto el archivo de la aplicación para tu sistema como su archivo de firma .asc correspondiente.
-
Debian/Ubuntu/Mint: Descarga el paquete
.deby el archivo.deb.asc. -
Fedora: Descarga el paquete
.rpmy el archivo.rpm.asc. -
Otras distribuciones: Descarga el archivo
.AppImagey el archivo.AppImage.asc.
Asegúrate de que ambos archivos se guarden en el mismo directorio (por ejemplo, tu carpeta de Descargas).
Paso 2: Abre el terminal
Abre una ventana de terminal. Un atajo común es navegar a tu carpeta de Descargas en tu explorador de archivos, hacer clic derecho dentro de la carpeta y seleccionar una opción como "Abrir en terminal".
Paso 3: Importa la clave de firma de BitBox
Para verificar la firma, primero debes importar nuestra clave pública. Ejecuta el siguiente comando en tu terminal:
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --importPaso 4: Verifica la firma de la aplicación
Ahora puedes verificar que la aplicación que descargaste fue firmada auténticamente por nosotros. En el terminal, ejecuta el comando gpg --verify seguido del nombre del archivo .asc.
El nombre del archivo cambiará dependiendo de la versión. Este ejemplo es para la versión 4.47.3 y el paquete .deb:
gpg --verify bitbox_4.47.3_amd64.deb.ascConsejo: Mientras escribes el nombre del archivo, puedes presionar la tecla Tab para autocompletarlo. Asegúrate de que el nombre del archivo termine en .asc.
La salida del comando debería contener los siguientes dos elementos: Si ambos están presentes, la firma es válida. Nota: Es probable que veas una advertencia que dice: "Esta clave no está certificada con una firma de confianza". Esto es normal y simplemente significa que no le has dicho explícitamente a GPG que confíe en nuestra clave.
gpg: Buena firma de "ShiftCrypto Security <security@shiftcrypto.ch>".DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.
La salida del comando debería contener los siguientes dos elementos:
- El texto
gpg: Buena firma de "ShiftCrypto Security <security@shiftcrypto.ch>". - La huella digital de la clave primaria:
DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.
Si ambos están presentes, la firma es válida.
Nota: Es probable que veas una advertencia que dice: "Esta clave no está certificada con una firma de confianza". Esto es normal y simplemente significa que no le has dicho explícitamente a GPG que confíe en nuestra clave.
Nota: Es probable que veas una advertencia que dice: "Esta clave no está certificada con una firma de confianza". Esto es normal y simplemente significa que no le has dicho explícitamente a GPG que confíe en nuestra clave.