Table of Contents

Requisitos previos Paso 1: Descargar los archivos necesarios Paso 2: Abrir la terminal Paso 3: Importar la clave de firma de BitBox Paso 4: Verificar la firma de la aplicación Cómo interpretar el resultado Nota importante sobre advertencias de GPG

Verificar la firma digital de BitBoxApp es una medida de seguridad avanzada que te permite confirmar que estás utilizando una versión auténtica de la aplicación, firmada por BitBox, y que no ha sido modificada.

Aunque este paso está orientado a usuarios avanzados, es importante destacar que el BitBox02 está diseñado para ser seguro incluso si tu ordenador está comprometido. El dispositivo no confía en BitBoxApp y no aceptará firmware no firmado, protegiendo tus claves privadas en todo momento.

Requisitos previos

La mayoría de las distribuciones de Linux incluyen GPG (GNU Privacy Guard) preinstalado. Puedes comprobarlo abriendo una terminal y ejecutando:

gpg --version

Si no está instalado, utiliza el gestor de paquetes de tu distribución, por ejemplo:

  • Debian / Ubuntu: sudo apt install gnupg
  • Fedora: sudo dnf install gnupg2

Paso 1: Descargar los archivos necesarios

Dirígete a la página oficial de lanzamientos de BitBoxApp en GitHub:
https://github.com/BitBoxSwiss/bitbox-wallet-app/releases 

Descarga dos archivos para tu sistema:

  • El archivo de la aplicación
  • El archivo de firma correspondiente (.asc)

Según tu distribución:

  • Debian / Ubuntu / Mint: descarga el archivo .deb y el archivo .deb.asc
  • Fedora: descarga el archivo .rpm y el archivo .rpm.asc
  • Otras distribuciones: descarga el archivo .AppImage y el archivo .AppImage.asc

Asegúrate de que ambos archivos estén guardados en la misma carpeta, por ejemplo, Descargas.

Paso 2: Abrir la terminal

Abre una ventana de terminal. Una forma habitual es navegar hasta la carpeta donde descargaste los archivos, hacer clic derecho dentro de ella y seleccionar “Abrir en terminal”.

Paso 3: Importar la clave de firma de BitBox

Para verificar la firma, primero debes importar nuestra clave pública. Ejecuta el siguiente comando en la terminal:

curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import

Este paso solo es necesario una vez.

Paso 4: Verificar la firma de la aplicación

Ahora puedes comprobar que la aplicación fue firmada auténticamente por nosotros. Ejecuta el comando gpg --verify, seguido del nombre del archivo .asc.

El nombre del archivo dependerá de la versión que hayas descargado.
Ejemplo para la versión 4.47.3 en formato .deb:

gpg --verify bitbox_4.47.3_amd64.deb.asc

Consejo: mientras escribes el nombre del archivo, puedes pulsar la tecla Tab para autocompletarlo. Asegúrate de que el archivo termine en .asc.

 

Cómo interpretar el resultado

La salida del comando debe mostrar ambos elementos siguientes:

  1. El mensaje:
    gpg: Good signature from "ShiftCrypto Security <security@shiftcrypto.ch>"
  2. La huella digital de la clave principal:
    DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE

Si ambos están presentes, la firma es válida y la aplicación es auténtica.

Nota importante sobre advertencias de GPG

Es probable que veas una advertencia similar a:

“Esta clave no está certificada con una firma de confianza.”

Esto es normal y esperado. Significa únicamente que no has configurado explícitamente GPG para confiar en esta clave. No afecta a la validez de la firma.

Related Articles

Was this article helpful?

Give feedback about this article