Hallo zusammen,

ich stehe grade vor einem Konzeptproblem. Ziel ist es Code und Programme zu verifizieren.
Denn: Code-Dateien liegen zentral auf einem Server. Viele Leute holen sich diese Dateien vom Server
und verwenden die in ihrem Programm (also Art Modulbauweise). Jetzt packen aber einige Leute eigene Funktionen in die Datei.
Zig Versionen entstehen. Was jetzt gecheckt werden soll ist, ob die Datei von "uns" kommt und ob sie noch im Originalzustand ist oder geändert wurde.

Ich habe mir bereits folgende Gedanken gemacht:

- zum Verifizieren von Code-Dateien: Die Code-Date wird gehasht, mit einem private key verschlüsselt. (private key kennt das Programm was das ganze prüfen durchführen soll). Bei der Verifikation wird die Signatur
mit dem public key (in der Datei enthalten) dekodiert. Gliechzeitig wird die originale Datei gehasht und zum Schluss die beiden Hashs vergliechen.

- zum Verifizieren von Programmen: diese Code-Dateien werden un anderswo in Projekte eingebaut, welche dann compiliert werden. Nun soll geprüft werden, ob
die Dateien von "uns" kommen und ob sie verändert wurden (einzelne Code-Dateien im Programm). Dazu fällt mir eigentlich nur ein Wasserzeichen ein, welcher über den Hex-Code irgendwie auslesbar sind. Dadurch kann man natürlich nur prüfen, ob das noch unsere Dateien sind, aber nicht, ob sie verändert wurden.

zum zweiten Punkt steh ich noch auf dem Schlauch, denn ein Hash des Programm fällt ja raus, weil unterschiedlcihe Compiler auch unterschiedliche Dateien erzeugen, mal von den Projekten, die immer unterschiedlich sind, abgesehen.

Für sämtliche Tipps/Links/Tricks bin ich dankbar.


Grüße

Webo