Den Download der BitBoxApp zu verifizieren stellt sicher, dass du eine echte Version heruntergeladen hast, die von BitBox signiert wurde. Zwar ist dies nicht unbedingt notwendig, aber dennoch eine gute Sicherheitspraktik, um zu erkennen, ob die Datei unterwegs manipuliert wurde oder nicht direkt von BitBox stammt.
Die BitBox02 vertraut grundsätzlich deinem Endgerät nicht, einschließlich der BitBoxApp, und akzeptiert keine unsignierten Firmware-Versionen, was bedeutet, dass selbst eine manipulierte BitBoxApp nicht einfach auf deine privaten Schlüssel zugreifen und deine Coins stehlen könnte. Aus diesem Grund ist es sicher, die BitBoxApp und BitBox02 zu verwenden, auch ohne den Download selbst verifiziert zu haben.
Eine Besonderheit von macOS ist, dass eine Signatur von BitBox bereits automatisch beim erstmaligen Öffnen der BitBoxApp verifiziert wird, wie es in den macOS Notarisierungs-Richtlinien festlegt ist. Es ist daher nicht notwendig, die Signatur manuell zu verifizieren, sofern du dem Verifizierungs-Prozess von Apple vertraust. Im Fall einer Manipulation würdest du eine explizite Warnung beim Versuch, die App zu öffnen, erhalten.
Beachte, dass der unten dargestellte, allgemeine Hinweis normal ist und immer angezeigt wird, wenn du irgendeine aus dem Internet heruntergeladene App zum ersten Mal öffnest. Du kannst die BitBoxApp sicher verwenden, wenn du diesen Hinweis siehst:
Wenn du trotzdem manuell mit dem Verifizierungs-Prozess fortfahren möchtest, kannst du folgende Anleitung nutzen.
Diese Anleitung ist auch für Windows und Linux verfügbar!
Vorbereitungen
Stelle sicher, dass GPG (GNU Privacy Guard) auf deinem Mac installiert ist. Du kannst die GPG Version für macOS hierherunterladen und installieren.
Falls du den beliebten Packetmanager Homebrew auf deinem Mac installiert hast, kannst du alternativ GPG mit brew install gpg installieren. Für Informationen zur Installation und Nutzung von Homebrew, siehe Informationen auf der offiziellen Webseite.
Um zu verifizieren, dass GPG auf deinem System installiert ist, führe gpg --version in einem Terminal Fenster aus (du wirst entweder einen Fehler oder die installierte Version erhalten) und fahre mit den Schritten zur Verifizierung unten fort.
Schritt 1: App und Signatur herunterladen
Zuerst musst du sowohl die BitBoxApp als auch die dazugehörige Signaturdatei herunterladen. Du kannst die .zipArchivdatei für die BitBoxApp und die .zip.asc Signaturdatei direkt von der offiziellen Releases Seite auf GitHubherunterladen.
Lade beide Dateien herunter und stelle sicher, dass sie sich im selben Ordner befinden.
Hinweis: Wenn du Safari benutzt, wird das heruntergeladene .zip Archiv eventuell automatisch entpackt, sodass nur die .app Datei der Anwendung in deinem Download-Ordner verbleibt. Allerdings muss die Signatur mit dem unberührten .zip Archiv verifiziert werden. Benutze einen anderen Browser zum Herunterladen oder deaktiviere diese Funktion in Safari.
Schritt 2: Terminal öffnen
Öffne ein neues Terminal Fenster. Du kannst das Terminal schnell erreichen über eine Spotlight-Suche (CMD + Space) oder über das Launchpad.
Wenn du möchtest, kannst du in den Ordner mit den heruntergeladenen Dateien navigieren (z.B. mit cd Downloads).
Schritt 3: Importiere unseren öffentlichen Schlüssel
Um die Signatur verifizieren zu können, müsst du zunächst unseren zugehörigen öffentlichen Schlüssel installieren, den du von unserer Webseite herunterladen kannst. Die mit dem Schlüssel verknüpfte E-Mail Adresse lautet security@shiftcrypto.ch und der Fingerabdruck des Schlüssels ist DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.
Um den Schlüssel herunterzuladen und direkt in GPG zu importieren, führe folgenden Befehl aus:
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
Der Schlüssel wird mit curl heruntergeladen und an gpg für den Import weitergegeben.
Schritt 4: Signatur
Jetzt wo du unseren öffentlichen Schlüssel importiert und sowohl das .zip Archiv als auch die Signaturdatei heruntergeladen hast, kannst du endlich überprüfen, ob die Signatur tatsächlich gültig ist und somit sicherstellen, dass die BitBoxApp, die du heruntergeladen hast, tatsächlich von BitBox stammt.
Die Dateinamen im folgenden Befehl variieren je nach der Version, die du verifizieren möchtest (in diesem Fall v4.41.0). Stelle außerdem sicher, dass du dich entweder im richtigen Pfad befindest (in diesem Fall im Verzeichnis "Downloads") oder verwende stattdessen den vollständigen Pfad der Datei. Um direkt den vollständigen Pfad der Signaturdatei einzufügen, ziehe sie einfach mit Drag-and-Drop auf das Terminal Fenster.
Verifiziere die Signatur mit dem folgenden Befehl. Gib den relativen oder absoluten Pfad zur .exe.asc Signaturdatei als Argument an:
gpg --verify BitBox-4.41.0-macOS.zip.asc
Sofern die Signatur gültig ist, wird der Output ungefähr so aussehen:
Du kannst dieser Signatur vertrauen, wenn der Fingerabdruck mit DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AEübereinstimmt. Dieser ist ebenfalls im jeweiligen Release auf GitHub angegeben.
Hinweis: Du wirst mit hoher Wahrscheinlichkeit die Warnung "This key is not certified with a trusted signature!" erhalten, wie im Screenshot von oben. Das ist erwartbar, da deine GPG Installtionen diesen Schlüssel gerade erst kennengelernt hat und du diesen nicht explizit als vertrauenswürdig eingestuft hast. Du kannst diese Warnung also ignorieren.