Wir empfehlen unseren Nutzern, unsere Releases zu verifizieren. Du kannst die Anleitung zur Verifizierung der Signatur für Linux, macOS oder Windows folgen, um die Authentizität und Integrität der heruntergeladenen Datei zu überprüfen. Dies gewährleistet nicht nur die Integrität des Downloads an sich, sondern stellt auch sicher, dass die Datei von BitBox erstellt und signiert wurde.

Obwohl die Verifizierung von Downloads eine gute Sicherheitsmaßnahme ist, ist sie für die sichere Nutzung deiner BitBox nicht unbedingt erforderlich. Die BitBox vertraut deinem Endgerät, einschließlich der BitBoxApp, nicht. Das bedeutet, dass selbst eine manipulierte App keinen direkten Zugriff auf deine Wallet hat. Gib deine Wiederherstellungswörter niemals auf dem Computer oder Smartphone ein.

Um die auf der Download-Seite aufgeführten Prüfsummen zu verifizieren, folge diesen Schritten, abhängig von deinem Betriebssystem:

Windows

1. Öffne die Eingabeaufforderung (CMD). Das geht z.B. ganz einfach, indem du Windows + R drückst und „cmd“ eingibst.
    
2. Tippe certutil -hashfile ein und ziehe (Drag and Drop) die heruntergeladene EXE-Datei einfach auf das Fenster mit der Eingabeaufforderung. Der Dateipfad wird dann automatisch eingefügt. Alternativ kannst du den vollständigen oder relativen Dateipfad manuell eingeben. Füge am Ende SHA256 hinzu. Der vollständige Befehl sieht dann beispielsweise so aus:
   
   certutil -hashfile “C:\Users\Satoshi\Downloads\BitBox-4.47.0-win64-installer.exe” SHA256
   
   Wichtig: Vergiss nicht, am Ende des Befehls SHA256 hinzuzufügen, da der Befehl certutil sonst standardmäßig einen anderen Hash-Algorithmus verwendet und du ein anderes Ergebnis sehen würdest.
    
3. Du solltest nun einen SHA-256-Hashwert der heruntergeladenen Datei sehen. Vergleiche ihn mit der SHA-256-Prüfsumme auf der BitBox-Website. Sie sollten exakt übereinstimmen.
    
4. Das war's!

macOS

1. Öffne ein Terminalfenster. Du findest die Terminal-Anwendung im Launchpad oder kannst mit Spotlight direkt danach suchen.
    
2. Gib shasum -a 256 ein und ziehe die heruntergeladene .dmg-Datei auf das Terminalfenster. Der Dateipfad wird dann automatisch eingefügt. Alternativ kannst du den vollständigen oder relativen Dateipfad auch manuell eingeben. Der Befehl sieht dann beispielsweise so aus:
   
   shasum -a 256 /Users/satoshi/Downloads/BitBox-4.47.0-macOS.dmg
    
3. Drücke Enter.
    
4. Du solltest nun einen SHA-256-Hashwert der heruntergeladenen Datei sehen. Vergleiche ihn mit der SHA-256-Prüfsumme auf der BitBox-Website. Sie sollten exakt übereinstimmen.
    
5. Das war's!

Linux

Für die meisten Linux-Distributionen kannst du einfach den macOS-Anweisungen folgen. Sollte shasum -a 256 nicht funktionieren, versuche es stattdessen mit sha256sum.

Android

Um die Prüfsumme direkt auf deinem Android-Gerät verifizieren zu können, installiere bitte zusätzliche Software zur Berechnung und Verifizierung von Hashwerten. Wir empfehlen beispielsweise:

• DeadHash, F-Droid | Google Play
• Hash Droid, F-Droid | Google Play

Alternativ kannst du die APK-Datei direkt auf deinem Computer überprüfen und den oben genannten Anweisungen folgen. Auf unserer GitHub-Seite findest du außerdem Signaturdateien der Android-Versionen. Falls du diese verifizieren möchtest, empfehlen wir dies auf einem Computer zu tun.

So fährst du mit der Verifizierung der Prüfsumme auf deinem Android-Gerät fort:

1. Öffne die App zur Berechnung der Hashwerte (z. B. DeadHash oder Hash Droid, andere Apps sind ähnlich aufgebaut).
    
2. Wähle, falls aufgefordert, SHA-256 als Hash-Algorithmus aus.
    
3. Wähle die gerade heruntergeladene Datei BitBox-4.xx.x-android.apk aus.
    
4. Wenn du in der App zum Vergleich eine Prüfsumme angeben musst, kopiere diese aus dem Abschnitt auf der BitBox-Website und füge sie ein.
    
5. Führe die Überprüfung durch. Du erhältst entweder eine Erfolgsmeldung (sofern du die Prüfsumme bereits angegeben hast) oder siehst direkt den SHA-256 Hashwert, den du mit dem Wert auf der BitBox-Website vergleichen kannst.
    
6. Das war's!