Wie verifiziere ich die App-Version unter Windows?

Die Verifizierung der BitBoxApp ist ein einfacher Prozess, der sicherstellt, dass du die echte, von BitBox signierte App hast. Dieser Leitfaden hilft dir bei jedem Schritt.

Dieser Leitfaden ist auch für Linux und MacOS verfügbar!

Schritt 1. Lade die App und die Signatur herunter

Zuerst musst du sowohl die App als auch die dazugehörige Signatur herunterladen. Du kannst die .exe-Datei für die App und die .exe.asc-Datei für die Signatur von unserer offiziellen GitHub-Seite herunterladen.

Achte darauf, dass sich beide Dateien im selben Ordner befinden.

Schritt 2. Öffne ein Terminal

In den folgenden Schritten werden wir ein Terminal verwenden, um Befehle auszuführen. Es ist wichtig, das Terminal im richtigen Ordner zu öffnen.

  1. Öffne den Datei-Explorer und navigiere zu dem Ordner, der beide Dateien enthält.
  2. Klicke mit der rechten Maustaste in den Ordner und wähle PowerShell hier öffnen. Dadurch öffnet sich ein neues Fenster, in das du Befehle eingeben kannst.

Schritt 3. Herunterladen und Importieren des öffentlichen Schlüssels

Um die Signatur zu überprüfen, musst du unseren öffentlichen Schlüssel herunterladen und ihn in das Programm importieren, das du später für die Überprüfung verwenden wirst. Wir verwenden den Befehl curl, um den öffentlichen Schlüssel von unserer Website herunterzuladen und importieren ihn dann mit dem Befehl gpg in das gpg-Programm, das wir für die Überprüfung verwenden werden.

Füge diesen Befehl in dein PowerShell-Fenster ein und drücke die Eingabetaste:

Schritt 4. Überprüfe die Signatur

Jetzt kannst du überprüfen, ob die App, die du heruntergeladen hast, tatsächlich von uns signiert wurde.

Der Dateiname könnte anders lauten, hier ein Beispiel für die App-Version v.4.39.0. Gib diesen Befehl ein, aber ändere den Dateinamen entsprechend deiner Version:
gpg --verify BitBox-4.39.0-win64-installer.exe.asc

Tipp: Wenn du den Befehl eingibst, kannst du die Tabulatortaste benutzen, um den Namen der Signatur automatisch zu vervollständigen. Es wird wahrscheinlich nur die .exe vervollständigt, also achte darauf, dass du die Dateierweiterung .asc hinzufügst.

Vergewissere dich, dass der Fingerabdruck in der Ausgabe mit DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE übereinstimmt - es sollte etwa so aussehen:
Primary key fingerprint: DD09 E413 0975 0EBF AE0D  EF63 5092 49B0 68D2 15AE

Wenn der Fingerabdruck korrekt ist und die Ausgabe dies enthält, dann war die Überprüfung erfolgreich!
gpg: Good signature from "ShiftCrypto Security <security@shiftcrypto.ch>" [unknown]

Vielleicht siehst du eine Warnung, dass der Schlüssel nicht mit einer vertrauenswürdigen Signatur zertifiziert ist. Das ist normal und zeigt nur an, dass du gpg nicht explizit so konfiguriert hast, dass es unserem öffentlichen Schlüssel vertraut.