Table of Contents

Requisitos previos Paso 1: Descarga los archivos necesarios Paso 2: Abre el Símbolo del sistema Paso 3: Importa la clave de firma de BitBox Paso 4: Verifica la firma de la aplicación

Verificar la firma digital de la BitBoxApp es una medida de seguridad avanzada que confirma que tienes una versión genuina firmada por BitBox. Este proceso asegura que la aplicación no ha sido manipulada.

Aunque este paso se recomienda para usuarios avanzados, la hardware wallet BitBox02 está diseñada para ser segura incluso si tu ordenador está comprometido. No confía en la BitBoxApp y no aceptará firmware sin firmar, protegiendo tus claves privadas en todo momento.

Requisitos previos

Necesitas tener GPG (GNU Privacy Guard) instalado en tu sistema. Para Windows, recomendamos descargar e instalar Gpg4win.

Después de la instalación, abre el Símbolo del sistema y ejecuta gpg --version para confirmar que se instaló correctamente.

Paso 1: Descarga los archivos necesarios

Ve a la página oficial de lanzamientos de la BitBoxApp en GitHub. Descarga tanto el archivo instalador .exe como su correspondiente archivo de firma .exe.asc. Asegúrate de que ambos archivos se guarden en el mismo directorio (por ejemplo, tu carpeta de Descargas).

Paso 2: Abre el Símbolo del sistema

Abre el Símbolo del sistema escribiendo cmd en la barra de búsqueda del menú Inicio. Para facilitar las cosas, navega a tu carpeta de descargas escribiendo cd Downloads y pulsando Intro.

Paso 3: Importa la clave de firma de BitBox

Para poder verificar nuestra firma, primero necesitas importar nuestra clave pública correspondiente, que puedes descargar en nuestro sitio web. El correo electrónico asociado con la clave es security@shiftcrypto.ch y la huella digital de la clave es DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.

Para descargar e importar la clave en GPG, ejecuta este comando en la ventana del Símbolo del sistema:

curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import

Esto descargará la clave usando curl y la entregará a gpg para ser importada.

Paso 4: Verifica la firma de la aplicación

Ahora puedes verificar la autenticidad del instalador. Ejecuta el comando gpg --verify seguido del nombre del archivo .asc entre comillas.

El nombre del archivo cambiará dependiendo de la versión. Este ejemplo es para la versión 4.47.3:

gpg --verify "BitBox-4.47.3-win64-installer.exe.asc"

Consejo: En el Explorador de Windows, puedes hacer clic con el botón derecho en el archivo .asc mientras mantienes pulsada la tecla Mayús, seleccionar "Copiar como ruta de acceso" y luego pegarlo en el Símbolo del sistema.

 

La salida del comando debería contener las siguientes dos cosas:

  • El texto gpg: Good signature from "ShiftCrypto Security <security@shiftcrypto.ch>", que en español se muestra como gpg: Firma correcta de "ShiftCrypto Security <security@shiftcrypto.ch>".
  • La huella digital de la clave primaria: DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.

Si ambos están presentes, la firma es válida y la salida se verá algo así:

Puedes confiar en esta firma si la huella digital de la clave coincide con DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE, que también se muestra en cada lanzamiento en GitHub.

Nota: Es probable que veas una advertencia que dice: "Esta clave no está certificada por una firma de confianza". Esto es de esperar y simplemente significa que no le has dicho explícitamente a GPG que confíe en nuestra clave.
profile picture
Nota: Es probable que veas una advertencia que dice: "Esta clave no está certificada por una firma de confianza". Esto es de esperar y simplemente significa que no le has dicho explícitamente a GPG que confíe en nuestra clave.

 

Related Articles

Was this article helpful?

Give feedback about this article