Exe signieren
 

Hallo,
wir hatten bisher von GlobalSign ein Zertifikat (pfx).
Das habe ich in den Zertifikatspeicher importiert und dabei als exportierbar gekennzeichnet.
Dann exportiert mit Passwort und mir eine eigene Bat-Datei gebaut, die das MS signtool aufruft.
In der Bat-Datei konnte sogar das Passwort angegeben werden, Stichwort Continous Delivery,
also die Abends erstellten Exe'n konnten so signiert werden.
(Es war keine Bat, sondern eine Exe-Datei selbst, aber spielt hier keine Rolle)

Aber:
Jetzt will GlobalSign, dass ich einen Security-Token auf einem USB-Stick benutze,
ein separates Programm zum Signieren installiere und bei jedem Signieren das Passwort eingebe!!!

Angeblich soll das seit 01.01.2017 Pflicht sein, kann ich aber so nicht glauben.


Meine Frage:
Womit signiert ihr denn eure Exe'n?

AW: Exe signieren
 

Genau so.
Wir nutzen digicert-zertifikat auch mit signtool in Batch im Jenkins laufend.

Also wenn GlobalSign unbrauchbare Anpassungen nötig macht, einfach auf anderen Anbieter wechseln.

AW: Exe signieren
 

wir haben dafür ein Tool gebaut, das das Passwort automatisch einträgt. Finde ich aber schrecklich, da muss dann ständig ein user angemeldet sein,....

unser Zertifikat läuft schon ne zeitlang, gut, wenn es Anbiter gibt, die das anders machen, muss ich mir merken, damit wir hier aktiv werden..

AW: Exe signieren
 

Hallo,
danke.

AW: Exe signieren
 

Ich nutze seit vielen Jahren kSoftware (früher comodo, heute Sectigo Reseller), habe gerade wieder ein Zertifikat gekauft und signiere wie bisher via Batchdatei oder via die aktuelle "Installaware Developer" Version.

Von der von dir erwähnten neuen Vorschrift habe ich nix gelesen/gehört. Wenn du einen Link hast, dann lese ich das "gern" mal durch.

AW: Exe signieren
 

Hallo,
https://www.globalsign.com/en/blog/c...or-developers/

Private Keys Need to be Stored on Cryptographic Hardware
Da ist genau der Haken.
Bisher war mein private key eine Datei.

Aber schicke mal meinem Admin diesen Thread.
Dummerweise haben wir bereits gezahlt für den Murks ;(

AW: Exe signieren
 

Wir signieren mit dem GlobalSign Security-Token. Passworteingabe ist nötig. Funktioniert aber ohne Probleme.

AW: Exe signieren
 

Hallo,
danke für die Info.
Dadurch ist aber kein Batch-Betrieb möglich, also kein Continious Delivery.

AW: Exe signieren
 

Besten Dank für den Link.

Es macht natürlich durchaus Sinn Schlüssel und Passwort nicht auf einer Kiste zu speichern, welche auch im Netz hängt.

Ich werde Key und Passwort von nun an zusätzlich verschlüsselt abspeichern - einfach nicht über meine Augen; dass dies auch schief gehen kann wissen wir alle spätestens seit James Bond.

AW: Exe signieren
 

Es betraf nicht alle Zertifikate, aber ist an sich nichts Neues. Dass es nun mehr Anbieter auch wirklich so handhaben, ist an sich gut, wenn auch mit einigem Aufwand verbunden.

AW: Exe signieren
 

Bei den Preisen die sie aufrufen könnte man meinen, sie lieferten den automatischen Passworteintipper (Codewort "Praktikant") gleich mit ;-)

Spaß beiseite: Ich bin mir sicher dass noch mehr Leute dieses Problem haben werden. Da wirds sicherlich auch Lösungen für geben.

Einerseits finde ich signierte Anwendungen ja gut. Andererseits gibt man damit Dritten aber auch die Möglichkeit, einem den Boden unter den Füßen weg zu ziehen. Siehe als abschreckendes Exempel die Geschichte zwischen Google und Symantec. Und Comodo war ja auch schon in der Kritik. Insofern schwieriges Thema.

AW: Exe signieren
 

Das ist dabei das größere Problem:
Für den Fall wird sicherlich immer ein Geheimnisträger, der sonst nichts Besseres zu tun hat, diesen anspruchsvollen Job übernehmen.

Ironie aus...
Und die Folge ist dann, dass die Passwörter nicht so gut geschützt werden wie bei einer automatisierten Buildmaschine, auf die nur wenige autorisierte Personen Zugriff haben.

AW: Exe signieren
 

Das wollte ich damit sagen. Womit sich die Frage stellt, ob diese Zertifikate bzw. deren Distribution prinzipbedingt für die Softwaresignierung ungeeignet sind.

AW: Exe signieren
 

Laut ksoftware gibt es jetzt wohl unterschiedliche Zertifikate: EV (mit Hardware-Token, deutlich teurer) und OV (wie bislang lediglich als Datei)
https://support.ksoftware.net/suppor...-certificates-

Wenn Codehunter ein EV-Zertifikat hat, würde es das erklären.

Hat schon jemand Erfahrung mit beiden Zertifikatstypen im direkten Vergleich?

AW: Exe signieren
 

Du meinst hoika.

AW: Exe signieren
 

Ups, ja, sorry. Hatte hochgescrollt und den Namen im ersten Posting kopiert ... war aber die zweite Seite. :oops:

AW: Exe signieren
 

Demnach wären EVs für Delphi-Programme gar nicht nötig sondern nur für Kernelmode-Treiber. Die können wir ja sowieso nicht erzeugen.

@hoika: Einfach mal bei eurer CA fragen, ob sie euch das einmal bezahlte EV nochmal als OV zur Verfügung stellen können. Nach meinem Verständnis sollte das OV ja ein Subset des EV sein.

AW: Exe signieren
 

Hallo,
GlobalSign bietet nur noch dieses Zertifikat an ;(
Und halt mit dem Hinweis, dass es so sein muss.

AW: Exe signieren
 

Komisch ich sehe beide Arten. Standard + EV:

https://www.globalsign.com/de-de/code-signing/

AW: Exe signieren
 

Hallo,
es steht bei beiden aber
Kryptographischer USB-Token

AW: Exe signieren
 

Es sieht so aus also würde keiner die Facebook Delphi Groups lesen...

Also soviel ich verstanden habe.

OV Code Signierung funktioniert per *.pfx Datei.

Hierbei must das Vertrauen erst aufgebaut werden und Windows vertraut diesen Zertifikaten nicht sofort.

EV Code Signierung funktioniert seit diesem Jahr nur noch per USB-Token oder eine PC - Crypto-Karte (HSM) zum Beispiel.

Dafür ist das Vertrauen (Trusted) sofort gegeben und wird entsprechend in Windows angezeigt.

Wenn man den Stick einsteckt, muss man einmal der PW eingeben. So wird es gesagt - wir haben es noch nicht hinbekommen, es wird jedes mal das PW abgefragt.
Natürlich 2x. Einmal für sha256 und einmal für sha1. Angeblich kann man mit EV Code Token-Sticks kein sha1 signieren - geht aber doch. (Also Fehler in der Dokumentation)

Die Lösung von einiges ist ein Tool, dass das Fenster der PW-Eingabe sucht und die Passwort-Zeichen mit einem kleinen Delphi-Tool (also die Tastendrücke) in den Tastaturspeicher per Timer schreibt.

Also alles zum :kotz:

Grüsse

Mavarik

PS.: Gleiche Informationen von (GloabSign,TrustZone) - Globalsign bietet übrigens ein 7 Tage Rückgaberecht. (Automatisch über die Homepage) danach ggf. per mail an den Support.
Gründe wären zu. Beispiel : Ich muss meine Software auf einen Rechner im Rechenzentrum signieren (Jenkins oder so ). Oder es muss ich einem Docker-Container funktionieren.

Angeblich gibt es die Möglichkeit per Azure Key Vault und einem WebService zu signieren. Hier warte ich noch auf die genauen Infos, wer mit Azure zusammenarbeiten.

AW: Exe signieren
 

Ah. Das hatte ich jetzt übersehen.

AW: Exe signieren
 

Bei DigiSign steht was drin wie man es schaft sich nur einmal das Token Password eingeben zu müssen:
https://knowledge.digicert.com/solution/SO20528.html

AW: Exe signieren
 

Meines Wissens sind kryptografische USB-Tokens, die die Eingabe der PIN etc. in Software umsetzen auch mehr Placebo als Schutz. Es gibt Token Keys mit Hardwaretastatur oder Fingerabdruckleser etc.