 |
 |
 |
 |
 |
|
Antwort
|
|
Registriert seit: 30. Mai 2002
Selbst Code signieren
Das ist die absolute Kurzfassung für diejenigen, die mal eben mit digitalen Signaturen herumspielen möchten. In diesem Beispiel wird ein eigenes digitales Zertifikat erzeugt und dann lokal auf dem Rechner installiert. Warum selbst signieren? Wird eine nicht signierte Anwendung unter Vista als Administrator ausgeführt, so erscheint das Fenster der Benutzerkonten-Steuerung in recht hässlicher Art und Weise:  Eine digital signierte Anwendung lässt dieses Fenster schon etwas angenehmer ausschauen:  Im professionellen Einsatz wird man um den Erwerb eines Zertifikates nicht umhin kommen, doch für erste Gehversuche auf dem lokalen Rechner kann diese „Spar-Variante“ ausreichen. Kleiner Bonus am Rande: Man kann hiermit auch Treiber signieren und damit zum Beispiel die Vista-Varianten zufriedenstellen, die auf digital signierte Treiber bestehen. Eine weitere Einsatzmöglichkeit für dieses Zertifikat wäre das digitale Signieren einer Anwendung, die nur haus-intern eingesetzt wird, wo der Erwerb eines Zertifikates also nicht zwingend notwendig wäre. Mit den folgenden zwei Befehlen wird ein Minimal-Zertifikat erstellt und auf dem lokalen Rechner installiert. In meinem Beispiel wird das Zertifikat in der Datei „d:\my_certificate.cer“ gesichert, diesen Pfad müsst Ihr ggf. an Euer System anpassen. Für die Installation des Zertifikates in Schritt #2 werden administrative Rechte benötigt. Die beiden verwendeten Werkzeuge „makecert“ und „signtool“ sind Bestandteile des .NET SDK von Microsoft und finden sich im .\BIN-Verzeichnis der .NET-SDK-Installation. 1) Zertifikat erzeugen:
Code:
2) Das frisch erzeugte Zertifikat In den Speicher vertrauenswürdiger Stammzertifizierungsstellen installieren:
makecert.exe -$ individual -r -pe -ss "DP Certificate Store" -n CN="DP Signierung" "d:\my_certificate.cer"
Code:
Nun können wir dieses Zertifikat auf unserem lokalen Rechner nutzen. Soll das Zertifikat auch auf anderen Rechnern genutzt werden, so muss die Zertifikatsdatei auf den anderen Rechner kopiert werden und danach der Schritt #2 auf diesem Rechner ausgeführt werden (ebenfalls mit Admin-Rechten).
certmgr.exe /add "d:\my_certificate.cer " /s /r localMachine root
3) Eine Datei mit dem neuen Zertifikat digital signieren:
Code:
4) Die Signatur der Datei verifizieren:
signtool.exe sign /v /s "DP Certificate Store" /n " DP Signierung " {DATEINAME}
Code:
Das als Mini-Einführung. Als weitere Referenz seien die Dokumentationen der beiden genutzten Werkzeuge erwähnt.
signtool.exe verify /pa /v {DATEINAME}
mit Grüßen aus Hamburg
|
Delphi XE5 Enterprise |
#41
18. Mai 2007, 12:50
In Deutschland ist es Pflicht auf Homepages ein Impressum zu führen (mit max. 2 Klicks erreichbar). Außerdem kann jeder bei
 www.denic.de nachlesen, wem die Domain gehört. Wenn also ein Kunde/Benutzer von meiner Homepage mein Programm runterläd, es versucht zu installieren und dann nach einer Signatur fragt, der hat eben Pech gehabt, wenn er mir nicht glaubt, daß ich ich bin. Solche Kunden brauche und möchte ich nicht. Das Vertrauensverhältnis ist dann sowieso schon leicht gestört.Der einzige Sinn solcher Lizenzen ist schlicht und einfach: Geld verdienen! Stellt euch vor, ihr braucht für euer Auto eine Extra-Lizenz, obwohl das Nummernschild (vergleichbar mit Impressum/Denic-Eintrag) fett auf dem Auto ist. Und erzählt mir jetzt nicht, daß man so eine Lizenz nicht auch mit gefälschten Daten bekommt, um Unfug zu betreiben. Selbst das Post-Ident-Verfahren kann mit gefälschtem Ausweis umgangen werden. Wo genügend kriminelle Energie ist, hilft keine Sicherheitsbarriere. Das gleiche gilt für die ganzen anderen Schmarotzer wie "Trusted Shops" & Co, die versuchen, mit vermeintlicher Sicherheit Geld zu verdienen. Wenn es nämlich mal knallt und jemand wurde betrogen, dann will niemand der Schuldige sein - und ich spreche aus leidiger Erfahrung! Oder habt ihr schonmal sowas wie Trusted-Shops z.B. bei Amazon gesehen? Ich nicht und die werden wissen warum... |
Zitat
|
Delphi 10.4 Sydney |
#42
18. Mai 2007, 13:03
Zitat von Catbytes:
Der einzige Sinn solcher Lizenzen ist schlicht und einfach: Geld verdienen!
Zitat von Catbytes:
Und erzählt mir jetzt nicht, daß man so eine Lizenz nicht auch mit gefälschten Daten bekommt, um Unfug zu betreiben. Selbst das Post-Ident-Verfahren kann mit gefälschtem Ausweis umgangen werden. Wo genügend kriminelle Energie ist, hilft keine Sicherheitsbarriere.
Und wenn du in den Zertifikatsspeicher schaust stehen da 2 Zertifikate die gesperrt wurden. Als vermeindliche Antragssteller steht da Microsoft ...
Zitat von Catbytes:
Das gleiche gilt für die ganzen anderen Schmarotzer wie "Trusted Shops" & Co, die versuchen, mit vermeintlicher Sicherheit Geld zu verdienen. Wenn es nämlich mal knallt und jemand wurde betrogen, dann will niemand der Schuldige sein - und ich spreche aus leidiger Erfahrung!
|
|
Zitat
|
|
Delphi 2006 Professional |
#43
18. Mai 2007, 13:19
Zitat:
Das das ganze einen Aufwand verursacht (Identitätsprüfung des Antragsstellers) und die Zertifikate jederzeit gegengeprüft werden können müssen (100% Uptime der Server!) beachtest Du wieder mal nicht. Klar, auch aus meiner Sicht immer noch viel zu teuer, aber umsonst Rolling Eyes 50 USD pro Jahr wären wohl angemessener, da bricht sich keiner was ab und es gibt noch immer Spenden im Zweifel des Falles Wink
Bei Kommerziellen Anwendungen sollte es doch eh klar sein von wem die kommen. Schliesslich hat man irgendeinen dafür bezahlt. |
|
Zitat
|
|
Delphi 10.4 Sydney |
#44
18. Mai 2007, 13:31
Zitat von Gandalfus:
Bei Kommerziellen Anwendungen sollte es doch eh klar sein von wem die kommen. Schliesslich hat man irgendeinen dafür bezahlt.
Daniel R. Wolf
|
|
Zitat
|
|
|
#45
18. Mai 2007, 13:34
Zitat von Catbytes:
Stellt euch vor, ihr braucht für euer Auto eine Extra-Lizenz, obwohl das Nummernschild (vergleichbar mit Impressum/Denic-Eintrag) fett auf dem Auto ist.
 Außerdem gibt es bei erfolgreicher Software immer wieder Trittbrettfahrer, die unter gleichem Namen irgendwas verkaufen wollen, und auch sowas findet gelegentlich den weg in die großen Portale. |
|
Zitat
|
Delphi 11 Alexandria |
#46
18. Mai 2007, 13:35
Zitat von Gandalfus:
Und Du "beachtest wieder mal nicht" das es Vista nicht kostenlos gibt und das angesichts des Kaufpreises dieser Service nun wirklich nicht zuviel verlangt wäre.
Aber zurück zum Vista-Preis. Was erwartest Du alles für den Preis noch? Das MS kostenlos Deine Anwendungen für Vista zertifiziert? Wäre ja der nächste Schritt. Oder das Du alle MS Games kostenfrei bekommst, wenn diese Vista kompatibel sind. Hätten noch mehr was davon. Und Du vergisst, dass VeriSign, Comodo, ... nicht zu MS gehören, dass diese Zertifikate auch unter Linux genutzt werden können, das es Zertifikate für SSL gibt, dass es... Sorry, ich kann diese "ich will alles umsonst bzw. alles in einem" Einstellung nicht verstehen. ...  ...
Daniel W.
|
|
Zitat
|
|
Delphi XE5 Enterprise |
#47
18. Mai 2007, 13:38
Zitat von CCRDude:
Zitat von Catbytes:
Stellt euch vor, ihr braucht für euer Auto eine Extra-Lizenz, obwohl das Nummernschild (vergleichbar mit Impressum/Denic-Eintrag) fett auf dem Auto ist.
Wer das nicht schnallt, dem hilft auch keine Lizenz... |
|
Zitat
|
|
|
#48
18. Mai 2007, 14:16
Zitat von Catbytes:
Spätestens wenn der Kunde mir das Geld sendet, um zu bezahlen, sollte sein gesunder Menschenverstand ihm sagen, an wen er bezahlt, meinst Du nicht auch?
Wer das nicht schnallt, dem hilft auch keine Lizenz... Übrigens habe ich jeden Tag mit einem knappen Dutzend Menschen zu tun, die eine Produktfälschung bezahlt haben, was mit Sicherheit nicht passieren würde, wenn diese sich besser über die Herkunft erkundigt hätten - gerade da könnte es unheimlich helfen, wenn signierte Dateien eher die Regel als die Ausnahme wären! Und zu guter letzt soll es ja noch Leute geben, die rein zum Spaß programmieren und somit Deinen "spätestens"-Zeitpunkt nicht erreichen. |
|
Zitat
|
|
Delphi XE5 Enterprise |
#50
18. Mai 2007, 14:48
Zitat von CCRDude:
Zitat von Catbytes:
Spätestens wenn der Kunde mir das Geld sendet, um zu bezahlen, sollte sein gesunder Menschenverstand ihm sagen, an wen er bezahlt, meinst Du nicht auch?
Wer das nicht schnallt, dem hilft auch keine Lizenz...
Zitat von CCRDude:
Übrigens habe ich jeden Tag mit einem knappen Dutzend Menschen zu tun, die eine Produktfälschung bezahlt haben, was mit Sicherheit nicht passieren würde, wenn diese sich besser über die Herkunft erkundigt hätten - gerade da könnte es unheimlich helfen, wenn signierte Dateien eher die Regel als die Ausnahme wären!
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
| Erstellt von | For | Type | Datum |
| Bei EXE im Autorun immer Abfrage von Win7 ob starten - Delphi-Forum.de | This thread | Refback | 1. Nov 2011 07:44 |
| Signieren und als .MSI packen | This thread | Refback | 21. Okt 2011 09:39 |
| myCSharp.de - DIE C# und .NET Community | Entwicklungs- und Laufzeitumgebung (Infrastruktur) | Bei Start der Releaseversion auf anderem Rechner: "Das Programm ist nicht verifiziert" | This thread | Refback | 20. Okt 2011 14:16 |
| Delphi-Forum.de - Bei EXE im Autorun immer Abfrage von Win7 ob starten | This thread | Refback | 16. Aug 2011 19:11 |
| Delphi-Forum.de - Bei EXE im Autorun immer Abfrage von Win7 ob starten | This thread | Refback | 16. Aug 2011 18:00 |
| Untitled document | This thread | Refback | 21. Mär 2011 11:30 |
| Prozess als anderer User mit erhöhten Rechten starten | This thread | Refback | 13. Dez 2010 11:57 |
Linear-Darstellung
