Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Definitiv enthalten ist signtool.exe im .Net 2.0 SDK (371 MB)

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ich grabe mal hier diesen Thread aus:

Kennt jemand ne Seite, wo die Vor und Nachteile von den verschiedenen Zertifizierungsstellen gegenüberstellt werden?

Also, was kann ich mit einem Zertifikat von veriSign mehr machen als mit einem Zertifikat von Comodo?

Prinzipiell brauche ich mal "nur" die zertifizierung von "normalen" exe, von services (dll bzw. exe)
was noch nett wäre, wenn man auch dll signieren könnte, die dann in outlook oder andern Programmen verwendet werden.

Kann man (was ja nur bei VeriSign geht oder?) dieses Winqual auch gut nutzen?
Nutze im Moment ne eigene ExceptionHandling, das eine sehr detailierte Exception Report erstellt, was ist da der vorteil von dem Winqual, und läuft das auch gut mit Delphi?

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Zertifikate sind so ein Schwachsinn...

Man zahlt Geld an Verisign usw. und die geben einem ein Zertifikat, dies sagt aber nix darüber aus, ob mein Programm vertrauenswürdig ist oder nicht, es sagt nur aus, daß ich bei zB Verisign bereit war Geld auszugeben...mehr nicht.

Ich kann ein richtig böses Programm schreiben.
Dann kaufe ich ein Zertifikat von Verisign usw. und benutze es in meinem bösen Programm.

Verisign und die anderen prüfen weder mein Programm noch meine Identität.

Zertifikate = der größte Schwachsinn seit es Programme gibt bzw. ne geile Idee mit nix Geld zu verdienen

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Aber sie können nach bekannt werden der Boshaftigkeit das Zertifikat für ungültig erklären und damit würde es zu Problemen führen bei der Nutzung deines Programmes bzw. einen deutlicheren Hinweis geben. Die Zertifikate aktualisiert Windows automatisch öfters.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ob Schwachsinn oder nicht, wenn man kommerziell Geld mit Programmen verdient, dann kann man schon mal etwas Geld ausgeben, damit der Benutzer zumindest sicherstellen kann, das dieses Programm von meiner Firma kommt, und da die benutzer mir trauen, wissen die dann zumindest, aha, das kann ich ohne probleme ausführen.

Nur bin ich mir noch nicht sicher, ob man diese billigen von http://www.ksoftware.net/code_signing.html auch verwenden kann, oder ob man dann später mal drauf kommt, wäre doch eines von verisign besser gewesen

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Dann ist es doch schon zu spät...ich als "Böser" hab doch in dem Moment schon erreicht was ich wollte ;)

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Die Identität wird beim Kauf eines Zertifikates nicht überprüft, ich könnte auch vorgaukeln ein anderer zu sein.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Doch wird sie. z.B. wird entweder Bestätigung von Notar oder eine Telefonrechnung von Telefonkonzern angefordert sowie Rückruf auf (per Telefonbuch überprüfte Telefonnummer?) getätigt (Jedenfalls bei Verisign). Diverse günstiger Anbieter könnten es u.U. mit weniger sorgfalt Betreiben um Kosten zu sparen. 100% sicher ist es nicht, denn sonst wären keine 2 zurückgezogenenen Zertifikate unter Windows vorhanden die eine Privatperson (Firma?) als Microsoft getätigt hat.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Das ist mir neu Bernhard.

Ein Freund von mir hat bei Verisign ein Zertifikat gekauft, da sein Kunden unbedingt wollte, daß er eins kaufen sollte.
Laut seinen Aussagen hat er nur ein Zertifikat bestellt, diesen bezahlt und dann hatte er es ohne jegliche Prüfung.

Mag sein, daß die nach ein paar Missbrauchsfällen eine Kontrolle eingeführt haben, aber zu dem Zeitpunkt als er es gekauft hat, wurde definitiv nix überprüft.

Ich würde mir wünschen, daß diese Zertifikateanbieter viel mehr restriktivere Prüfungen vornehmen und diese von mir aus auch sich bezahlen lassen.
Dann kann der Kunde wenigstens sich auf etwas einigermassen verlassen.

Ganz ohne Prüfung ist das Ganze mit den Zertifikaten mehr Schein als Sein.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Stimm ich dir voll zu. Auch der Weg von Verisign hat seine Angriffmöglichkeiten. So war die letzte überprüfung ein Witz. Anruf von Verisign (an meine Tel.Nr um bitte doch mit Geschäftsführer zu verbinden. Hätte ich jetzt meinen Kollegen gebeten "Chef zu spielen" wäre es kein Problem gewesen da nur einfache Dinge abgefragt wurden (AFAIK Vorname, Geburtsdatum, ...)