das mit dem "....die Builds der Entwickler signiert und reproduzierbar sind..." verstehe ich nicht so ganz.
Es gibt Methoden, die Software so zu bauen, dass der gleiche Quellcode nach der Übersetzung immer zum identischen ausführbaren Programm führt. Damit kann eindeutig nachgewiesen werden, dass das genutzte Program aus der entsprechenden Quelle stammt.
Kryptosoftware sollte immer so gebaut werden. Mehr als Taschengeld würde ich einer anders gebauten Software nicht anvertrauen.
Die ausführbaren Dateien werden danach von den Entwicklern signiert. Damit wird nochmal kryptpgraphisch sichergestellt, dass das Programm von den Entwicklern selbst freigegeben wurde. Verändert jemand die Software oder versucht, eine andere Software unterzuschieben, dann stimmt die Signatur nicht mehr. Ebenfalls ein zwingendes Verfahren bei Kryptosoftware.
Hier die passende Signatur für den aktuellen Core Client 0.15.1. Diese kann mit jeder PGP/GPG Implementierung überprüft werden.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
d64d2e27cad78bbd2a0268bdaa9efa3f1eca670a4fab462b5e851699c780e3a0 bitcoin-0.15.1-aarch64-linux-gnu.tar.gz
ceba092c9a390082ff184c8d82a24bc34d7f9b421dc5c1e6847fcf769541f305 bitcoin-0.15.1-arm-linux-gnueabihf.tar.gz
231e4c9f5cf4ba977dbaf118bf38b0fde4d50ab7b9efd65bee6647fb14035a2c bitcoin-0.15.1-i686-pc-linux-gnu.tar.gz
b6771c5d67fb6b9c4882cc351e579470a008211d76407155e544b28b00fcd711 bitcoin-0.15.1-osx64.tar.gz
0ce5ca1ba424603526d8a40d9321f1f735797a7205a7fbbe39561c078f2a0858 bitcoin-0.15.1-osx.dmg
34de2dbe058c1f8b6464494468ebe2ff0422614203d292da1c6458d6f87342b4 bitcoin-0.15.1.tar.gz
cc7a31d8fece1462955bddef87945420721e42cfe6af589a36547b0940851765 bitcoin-0.15.1-win32-setup.exe
4d2ad1371df1904367955d3f250212d0edd9f338c26d5cd60d7d8ce3f1733f5a bitcoin-0.15.1-win32.zip
905a5999fb52b083d7e3bedb2dc6704ca641823f81865db58a55a6a20b454d8c bitcoin-0.15.1-win64-setup.exe
b858521496c0d7699a6916c20767cdb123eb39be70ffc544d6876b08af3b696a bitcoin-0.15.1-win64.zip
387c2e12c67250892b0814f26a5a38f837ca8ab68c86af517f975a2a2710225b bitcoin-0.15.1-x86_64-linux-gnu.tar.gz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)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=6mwW
-----END PGP SIGNATURE-----
alles klar. aber wie soll denn eine offline software ein wallet generieren?
Eine Wallet ist letztendlich nur der (einer oder mehrere) Privatschlüssel zum signieren einer Transaktion. Dieser Schlüssel kann Offline mit einem (guten!) Zufallszahlengenerator erzeugt werden. Notfalls kann man diesen mit einem stinknormalen Würfel auswürfeln. Das hier ist eine Wallet (
bitte nicht benutzen, denn darauf hat jetzt jeder Zugriff!):
Kz6rCmHDCChhzjDVT5FXoMb9AZsFk9XK7y3c3eBm1pNrjdYvoLWP
Die zugehörige Adresse kann daraus leicht (
https://bitaddress.org/ - Walletdetails) berechnet werden:
1NZBKMdnuZNZ5c19FiHNo1EcqiJ2KaShxH
Einfach selber ausprobieren. Wissen ist Macht - und nichts wissen macht (auch im Kryptobereich) mindestens arm.