Den Download der BitBoxApp zu verifizieren stellt sicher, dass du eine echte Version heruntergeladen hast, die von BitBox signiert wurde. Zwar ist dies nicht unbedingt notwendig, aber dennoch eine gute Sicherheitspraktik, um zu erkennen, ob die Datei unterwegs manipuliert wurde oder nicht direkt von BitBox stammt.
Die BitBox02 vertraut grundsätzlich deinem Hostgerät nicht, einschließlich der BitBoxApp, und akzeptiert keine unsignierten Firmware-Versionen, was bedeutet, dass selbst eine manipulierte BitBoxApp nicht einfach auf deine privaten Schlüssel zugreifen und deine Coins stehlen könnte. Aus diesem Grund ist es sicher, die BitBox02 zu verwenden, auch ohne den Download selbst verifiziert zu haben.
Diese Anleitung für Windows-Nutzer zeigt den Verifizierungsprozess Schritt-für-Schritt, falls du mit der manuellen Verifizierung fortfahren möchtest.
Diese Anleitung ist auch für Linux und macOS verfügbar!
Vorbereitungen
Stelle sicher, dass GPG (GNU Privacy Guard) auf deinem Windows-System installiert ist. Du kannst die Windows-Version Gpg4win hier herunterladen und installieren.
Um zu verifizieren, dass GPG auf deinem System installiert ist, führe gpg --version in der Eingabeaufforderung oder PowerShell aus (du wirst entweder einen Fehler oder die installierte Version erhalten) und fahre mit den Schritten zur Verifizierung unten fort.
Schritt 1: App und Signatur herunterladen
Lade zunächst sowohl den Installer der BitBoxApp als auch die zugehörige Signatur-Datei herunter. Du kannst den .exe Installer für die BitBoxApp und die .exe.asc Signatur-Datei von unserer offiziellen Releases Seite auf GitHub herunterladen.
Stelle sicher, dass sich beide Dateien im gleichen Ordner befinden.
Schritt 2: Eingabeaufforderung öffnen
Für die eigentliche Verifizierung werden wir die herkömmliche Eingabeaufforderung von Windows (cmd.exe) verwenden. Öffne sie, indem du "cmd" in der Suchleiste eingibst oder direkt mit "cmd.exe" nachdem du Windowstaste + R gedrückt hast. Es empfiehlt sich, schon einmal in den Ordner mit den heruntergeladenen Dateien zu navigieren (z.B. mit cd Downloads).
Schritt 3: Importiere unseren öffentlichen Schlüssel
Um die Signatur verifizieren zu können, müsst du zunächst unseren zugehörigen öffentlichen Schlüssel installieren, den du von unserer Webseite herunterladen kannst. Die mit dem Schlüssel verknüpfte E-Mail Adresse lautet security@shiftcrypto.ch und der Fingerabdruck des Schlüssels ist DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE.
Um den Schlüssel herunterzuladen und direkt in GPG zu importieren, führe folgenden Befehl aus:
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
Der Schlüssel wird mit curl heruntergeladen und an gpg für den Import weitergegeben.
Schritt 4: Signatur verifizieren
Jetzt, wo du unseren öffentlichen Schlüssel importiert und sowohl den Installer als auch die Signatur-Datei heruntergeladen hast, kannst du endlich überprüfen, ob die Signatur tatsächlich gültig ist und somit sicherstellen, dass die BitBoxApp, die du heruntergeladen hast, von BitBox stammt.
Die Dateinamen im folgenden Befehl variieren je nach der Version, die du verifizieren möchtest (in diesem Fall v4.41.0). Stelle außerdem sicher, dass du dich entweder im richtigen Pfad befindest (in diesem Fall im Verzeichnis "Downloads") oder verwende stattdessen den vollständigen Pfad der Datei. Um einen vollständigen Pfadnamen zu erhalten, klicke einfach mit der rechten Maustaste auf die Datei im Windows Explorer und wähle "Als Pfad kopieren".
Verifiziere die Signatur mit dem folgenden Befehl. Gib den relativen oder absoluten Pfad zur .exe.asc Signatur-Datei als Argument an:
gpg --verify "BitBox-4.39.0-win64-installer.exe.asc"
Sofern die Signatur gültig ist, wird der Output ungefähr so aussehen:
Du kannst dieser Signatur vertrauen, wenn der Fingerabdruck mit DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AEübereinstimmt. Dieser ist ebenfalls im jeweiligen Release auf GitHub angegeben.
Hinweis: Du wirst mit hoher Wahrscheinlichkeit die Warnung "This key is not certified with a trusted signature!" erhalten, wie im Screenshot von oben. Das ist erwartbar, da deine GPG Installtionen diesen Schlüssel gerade erst kennengelernt hat und du diesen nicht explizit als vertrauenswürdig eingestuft hast. Du kannst diese Warnung also ignorieren.