Wie verifiziere ich die App-Version auf MacOS?

Die Verifizierung der BitBoxApp ist ein einfacher Prozess, der sicherstellt, dass du die echte, von BitBox signierte App hast. Dieser Leitfaden hilft dir bei jedem Schritt.

Dieser Leitfaden ist auch für Windows und Linux verfügbar!

Schritt 1. Lade die App und die Signatur herunter


Lade zunächst sowohl die App als auch die dazugehörige Signatur herunter. Du kannst die .zip-Datei für die App und die .zip.asc-Datei für die Signatur von unserer offiziellen GitHub-Seite herunterladen. Wenn du den Safari-Browser verwendest, musst du eventuell die Funktion zum automatischen Dekomprimieren von Zip-Dateien in deinen Browsereinstellungen deaktivieren.

Stelle sicher, dass sich beide Dateien im selben Ordner befinden.

Schritt 2. Öffne ein Terminal


  1.    Navigiere zu dem Ordner, der beide Dateien enthält.
  2.    Klicke auf das Finder-Dropdown in deiner oberen Menüleiste.
  3.    Wähle Dienste -> Neues Terminal im Ordner. Dadurch wird ein neues Terminal für dich geöffnet.

Schritt 3. Herunterladen und Importieren des öffentlichen Schlüssels

Wenn das gpg Programm noch nicht auf deinem System installiert ist, musst du dieses zuerst installieren, um es anschließend für die Signatur-Verifikation zu nutzten.

Um die Signatur zu überprüfen, lade unseren öffentlichen Schlüssel herunter und importiere ihn. Verwende die folgenden Befehle in deinem Terminal:

Schritt 4. Überprüfe die Signatur


Überprüfe nun, ob die App, die du heruntergeladen hast, tatsächlich von uns signiert wurde, indem du die entsprechende Signatur überprüfst. Passe den Dateinamen entsprechend deiner Version an:
gpg --verify BitBox-4.39.0-macos.zip.asc

Stelle sicher, dass der Fingerabdruck in der Ausgabe mit DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE übereinstimmt.

Wenn der Fingerabdruck korrekt ist und die Ausgabe gpg: Good signature from "ShiftCrypto Security <security@shiftcrypto.ch>" [unknown] enthält, war die Überprüfung erfolgreich!

Möglicherweise siehst du eine Warnung, dass der Schlüssel nicht mit einer vertrauenswürdigen Signatur zertifiziert ist. Das ist normal und zeigt nur an, dass du gpg nicht explizit so konfiguriert hast, dass es unserem öffentlichen Schlüssel vertraut.