Unterschiedliche Checksummen bei BitBoxApp

An alle im Forum,

Auf Ratschlag von Herrn Reher wende ich mich an dieses Forum.

Folgendes Problem.

Ich habe direkt von der Firma Shiftcrypto eine Bitbox02 bestellt. Orginalverschweißt. So wie auf You-Tube gezeigt.

Wollte dann, wie empfohlen, die Prüfsumme kontrollieren. Mit Windowstaste und cmd Eingabe.

Und siehe da, sie stimmen nicht überein.

Eigentlich wollte ich direkt die Firma in der Schweiz anrufen.Tel: 0041325109036. Aber dort ist nur ein AB auf Englisch, das man doch eine E-Mail bei Fragen senden solle.

Auf dehren Internetseit steht zu meiner Verwunderung, das E-Mailadressen mit @t-online.de nicht angenommen werden können. Klasse, Schöner Sch…!!!

Da ich nun sehr empfindlich in Bezug auf mein Geld bin, habe ich die Anmeldung eingestellt.

Zum Schluß noch einen kopierten Auszug über die unterschiedlichen Prüfsummen.
(Siehe am Schluß)

Frage:

Habe ich nun ein Fehler gemacht, oder stimmt da tatsächlich was nicht ???

Ich hoffe, das mir weitergeholfen werden kann, das weder meine Freunde noch ich Computergenies sind und nur die Programme auf dem PC anweden können. Für mehr reicht es nicht.

Danke im Vorfeld für die Mühe.
M.f.G
Manfred Schwarz

C:\Users\Manfred Schwarz>certutil -hashfile „C:\Program Files\BitBox\BitBox.exe“ SHA256

SHA256-Hash von C:\Program Files\BitBox\BitBox.exe:

7a8977f8a0f5206998084a22baf5dd93bc6c4990ab5a12acb91a95268bc1863c

CertUtil: -hashfile-Befehl wurde erfolgreich ausgeführt.

SHA-256 Prüfsummen

Windows: b230d7628bb340ec3cad6f11fad526c18afad9192f8df158371510de0c3fe9a0

macOS: c8121b9c790fe4de32c2d528405abb51e64a4ed55a8c9867f258ce9c9e9a69e6

Löblich.

Nur vorab erstmal als Hinweis: Du prüfst hier die Checksumme der BitBox App, nicht von der BitBox02.

So wie ich das erkennen kann hast du nicht die heruntergeladene Datei überprüft, sondern erst nach dem Installieren das Programm selbst.

Dein Befehl müsste aber so aussehen, siehe Dateiname:

certutil -hashfile C:\Users\Sebastian\Desktop\BitBox-4.33.0-win64-installer.exe SHA256

Checksumme stimmt:

Screenshot 2022-06-17 at 13.44.211840×958 136 KB

Dann erst installierst du das Programm, wodurch sich natürlich der Fingerabdruck ändert. Es ist also alles in Ordnung.

Ich halte diesen Schritt bei Anfängern ehrlich gesagt für nicht unbedingt nötig, da man damit eigentlich nur für Verunsicherung sorgt und inkorrekte Checksummen immer auf einen Anwendungsfehler zurück führen. Aber das ist nur meine Meinung, es schadet sicherlich niemandem und man lernt was dazu. :D

Ich halte den Schritt der zweifelsfreien Verifizierung stets für wichtig, daß die Wallet-Software nicht manipuliert worden ist. Ich installiere keine Wallet oder Update einer Wallet ohne Verifizierung der Prüfsumme.

Damit Anfänger das korrekt hinbekommen, brauchen sie eine DAU-kompatible Anleitung. Letzteres ist sicherlich keine Raketentechnologie und mach- und leistbar.

Danke für die Mühe ! So richtig habe es es zwar nicht verstanden, da ich dachte, das man als Sicherheit, bevor man etwas runterläd es kontrolieren kann, ob es richtig ist. Ich warte einfach noch mal bis nächste Woche. Dann werde ich mal das Risiko eingehen das Programm auf die Bitbox02 heraufzuspielen.
Nur für mich als Anfänger stellt sich da nur die Frage. Wieso soll man vorab eine Summenkontrolle vornehmen, wenn man später sagt, erst muß alles aufgespielt sein. Wenn einer wirklich sich dazwischen geschaltet hat in das Programm, werde ich dann nicht immer die gleiche Nummer nach dem aufspielen auf der Bitbox und meinem PC sehen ? Oder denke ich einfach zu komplieziert.
Trotzdem Danke für die Unterstützung.

Gruß
Manfred

Du hast @sutterseba falsch verstanden.
Du prüfst den Hash bevor du den „Installer“ auf deinem Rechner ausführst.

Es geht darum die Integrität des Downloads zu überprüfen, also ob die Datei die du runter geladen hast auch die gleiche Datei wie die von Shift Crypto ist. Die Checksumme musst du hier einfach als Fingerabdruck verstehen.

Die Datei die du runtergeladen hast ist der Installer, und dessen Checksumme überprüfst du, nicht die des bereits installierten Programms.

Es besteht hier kein Risiko, du spielst nichts auf die BitBox02 herauf. Die BitBox02 kommuniziert mit der BitBox App. Sicherheitsrelevante Daten wie deine privaten Schlüssel verlassen die BitBox02 zu keinem Zeitpunkt.

Ich auch nicht, bitte nicht falsch verstehen. Nur dieser Thread ist ein gutes Beispiel warum ich es nicht als Pflichtprogramm jedem weiter empfehlen würde. In diesem Fall hier hat es nur zu Verwirrung und Verunsicherung geführt.

Mit einem Angriff über die BitBox App kommt man an keine Schlüssel. Blockieren von Transaktionen oder Angriffsversuche über manipulierte Adressen sind so das schlimmste was hier passieren kann.

Und sind wir mal ehrlich: Jemand der seine Adressen nicht auf der Hardware verifiziert, der verifiziert ohnehin keine Prüfsummen.

Absolut!

Wobei sogar darauf hingewiesen wird die heruntergeladene Datei zu prüfen:

Note: To verify if the checksum is correct, calculate the checksum on the downloaded file (zip, exe, deb, rpm, AppImage) before uncompressing.

Aber das ist halt nicht DAU-Konform, stimmt schon.

Wobei man schon anmerken muss, dass eine manipulierte App auch eine manipulierte Firmware auf der Bitbox installieren könnte. Wenn man aber nur einer zuvor per Checksumme verifizierte App installiert, kann das natürlich nicht passieren.

Die Bitbox02 erkennt Firmware, die nicht vom Hersteller signiert wurde und warnt eindeutig davor! Wer das übersieht oder ignoriert, dem ist nicht zu helfen.

Ach ja, stimmt. Dann dürfte selbst bei einer manipulierten App eigentlich nichts passieren, wenn man nicht einfach alles bestätigt.

An alle, die sich an meinen Problem befasst habe erst einmal einen herzlichen Dank !
So wie ich das als Laie verstanden habe, muß ich also erst nach dem Download auf die identische Nummer achten (hoffe ich jedenfalls).
Ich habe mir zwar die übrigen Kommentare alle durchgelesen, aber mal ehrlich, ich verstehe da nur Bahnhof. Liegt aber nicht an euch allen, sondern wohl eher an mir.
Werde dann, wenn nichts dramatisches passiert, bald das Programm aufspielen.
Danke an allen, die sich dafür interessiert haben.

Verstehe nicht ganz was du damit meinst, wie willst du das denn sonst machen?!

1. Du lädst den Installer herunter.

2. Du rechnest die Checksumme dieser heruntergeladenen Datei aus

3. Du vergleichst diese Checksumme mit der auf der Webseite.

   b230d7628bb340ec3cad6f11fad526c18afad9192f8df158371510de0c3fe9a0
   

4. Identische Zahlen → Perfekt

5. Installer ausführen und BitBox App installieren

Ich habe das im Anleitungsvideo auf Youtube so verstanden, das dieser Vergleich zuerst gemacht wird, bevor man die Bitbox aktiviert und einrichtet. War das Falsch ?

Und dann traten die Unterschiedlichen Nummer auf.

Das hat mit der BitBox02 doch erstmal gar nichts zu tun!

Dann bitte mochmal zum Verständniss. Ich möchte ja hier auch mal was dazulernen.
Wozu ist dann diese Summennummer eigentlich gut, wen diese egal bzw. unwichtig ist oder, wie bei mir falsch ?

Sie sagt lediglich aus, dass die Datei unverändert ist.
Es handet sich also „nur“ um eine Integritätsprüfung.

Hurra, an alle. Habe es geschaft. Der Fehler lag natürlich bei mir !!! Habe bei den Eigabebefehlen an manchen Stellen die Leertaste nicht gedrückt.
Danke an allen, die mir hier als Anfänger zur Seite gestanden haben.

Hallo Leute,
wie ich schon gesehen habe, kommen bei der Einrichtung der Bitbox bzw. der Prüfung der App nicht alle an Problemen vorbei.
Schaut Euch doch bitte mal meine Code-Eingabe an. Ich kann den Fehler nicht entdecken.
Und zwar bitte die letzte Eingabe. Ich habe gelernt… Dachte ich
Danke!

image1816×1172 125 KB

Leerzeichen hinter und vor dem Pfad fehlen

Du hast vor dem Pfad auch zwei "".

Den Pfad in Anführungszeichen setzen war korrekt, da du das Leerzeichen in deinem Username ausmaskieren musst.

Hier der korrekte Befehl, einfach kopieren und ausprobieren:

certutil -hashfile "C:\Users\lifestyle conscious\Downloads\BitBox-4.33.0-win64-installer.exe" SHA256 

Sorry @TE, aber bitte sende erstmal nur BTC auf deine bitbox, die du zweifelsfrei gewillt bist zu verlieren. Ich habe das Gefühl, dass dein nächster Thread heißen könnte:

BTC nicht mehr auf bitbox. Alles weg?

Finde mein 25 Wort nicht mehr. Kann man da irgendwie nochmal herankommen?

SD Karte kaputt. Bitbox kaputt. Wörter nicht nochmal separat aufgeschrieben. Habe ich jetzt alles verloren?

BTC an falsche Adresse gesendet. Bekomme ich die wieder zurück?

Könnte Stunden so weiter machen…