Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

In Deutschland ist es Pflicht auf Homepages ein Impressum zu führen (mit max. 2 Klicks erreichbar). Außerdem kann jeder bei www.denic.de nachlesen, wem die Domain gehört. Wenn also ein Kunde/Benutzer von meiner Homepage mein Programm runterläd, es versucht zu installieren und dann nach einer Signatur fragt, der hat eben Pech gehabt, wenn er mir nicht glaubt, daß ich ich bin. Solche Kunden brauche und möchte ich nicht. Das Vertrauensverhältnis ist dann sowieso schon leicht gestört.

Der einzige Sinn solcher Lizenzen ist schlicht und einfach: Geld verdienen!

Stellt euch vor, ihr braucht für euer Auto eine Extra-Lizenz, obwohl das Nummernschild (vergleichbar mit Impressum/Denic-Eintrag) fett auf dem Auto ist.

Und erzählt mir jetzt nicht, daß man so eine Lizenz nicht auch mit gefälschten Daten bekommt, um Unfug zu betreiben. Selbst das Post-Ident-Verfahren kann mit gefälschtem Ausweis umgangen werden. Wo genügend kriminelle Energie ist, hilft keine Sicherheitsbarriere.

Das gleiche gilt für die ganzen anderen Schmarotzer wie "Trusted Shops" & Co, die versuchen, mit vermeintlicher Sicherheit Geld zu verdienen. Wenn es nämlich mal knallt und jemand wurde betrogen, dann will niemand der Schuldige sein - und ich spreche aus leidiger Erfahrung!

Oder habt ihr schonmal sowas wie Trusted-Shops z.B. bei Amazon gesehen? Ich nicht und die werden wissen warum...

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Sehe ich nicht so (und andere auch). Es gibt bei Firmen Einsatzfälle wo der Admin nicht einfach jedem User gestatten will jeden Download zu starten. Und da kann ein Zertifikat Helfen. Unter .NET hat ja MS mit den "Strong Names" etwas ähnliches (zwar nicht so ganz auf dem gleichen Level) geschaffen.

Es kommt aber teilweise auf die Hürde darauf an die vor dem Fälschen/Stehlen steht. Wenn dein Auto mit gesteckten Zündschlüssel "diebstahlsbereit" herumsteht so wird die Versicherung nichts zahlen. Wird das Auto aufgebrochen so sieht es schon ganz anders aus.
Und wenn du in den Zertifikatsspeicher schaust stehen da 2 Zertifikate die gesperrt wurden. Als vermeindliche Antragssteller steht da Microsoft ...

Sollte sowas bei einem entsprechenden Shop masche sein wird er über früher oder später sein Logo verlieren. Aber sowas kann dir auch bei jeder anderen Firma passieren.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Und Du "beachtest wieder mal nicht" das es Vista nicht kostenlos gibt und das angesichts des Kaufpreises dieser Service nun wirklich nicht zuviel verlangt wäre.
Bei Kommerziellen Anwendungen sollte es doch eh klar sein von wem die kommen. Schliesslich hat man irgendeinen dafür bezahlt.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ein gültiges Zertifikat stellt immerhin sicher, dass die signierte Programmdatei auch unverändert vorliegt und tatsächlich genau die ist, die vom Hersteller kommt - und damit eben nicht etwa eine andere Datei ist, die nur den gleichen Namen trägt.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ein Impressum oder Denic-Eintrag ist wohl eher mit einem 3-Tage-Kennzeichen zu vergleichen. "Dummerweise" ist aber auch manche Software, inklusive kleiner Hobbysoftware, etwas bekannter als über den Freundeskreis hinaus, dem man immer wieder sagen muss "geh doch mal auf meine Homepage was runterladen"... und dann kann es schonmal passieren, daß die Software auf einem der großen Download-Portale landet... da hilft ja ein Denic-Eintrag auch so viel :roll:
Außerdem gibt es bei erfolgreicher Software immer wieder Trittbrettfahrer, die unter gleichem Namen irgendwas verkaufen wollen, und auch sowas findet gelegentlich den weg in die großen Portale.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Wieso wieder? Ich weiß das Vista Geld kostet. Außerdem gibt es diese Zertifikate nicht erst seit Vista, schon mit Windows XP hat Microsoft diese empfohlen. Jetzt nur etwas auffälliger. Lade mal mit XP SP2 eine EXE aus dem Internet und starte die. Was passiert da wohl... genau, Du sollst den Start bestätigen. Und worauf prüft XP? Auf ein Zertifikat, halt nur nicht so auffällig.

Aber zurück zum Vista-Preis. Was erwartest Du alles für den Preis noch? Das MS kostenlos Deine Anwendungen für Vista zertifiziert? Wäre ja der nächste Schritt. Oder das Du alle MS Games kostenfrei bekommst, wenn diese Vista kompatibel sind. Hätten noch mehr was davon.

Und Du vergisst, dass VeriSign, Comodo, ... nicht zu MS gehören, dass diese Zertifikate auch unter Linux genutzt werden können, das es Zertifikate für SSL gibt, dass es... Sorry, ich kann diese "ich will alles umsonst bzw. alles in einem" Einstellung nicht verstehen.

...:cat:...

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Spätestens wenn der Kunde mir das Geld sendet, um zu bezahlen, sollte sein gesunder Menschenverstand ihm sagen, an wen er bezahlt, meinst Du nicht auch?

Wer das nicht schnallt, dem hilft auch keine Lizenz...

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

In bin zwar selber ab und zu der Meinung, daß Menschen im Internet etwas besser aufpassen könnten, aber was Du da von Dir gibst klingt ja schon recht arrogant. Schreibst Du nur Software für Eliten?

Übrigens habe ich jeden Tag mit einem knappen Dutzend Menschen zu tun, die eine Produktfälschung bezahlt haben, was mit Sicherheit nicht passieren würde, wenn diese sich besser über die Herkunft erkundigt hätten - gerade da könnte es unheimlich helfen, wenn signierte Dateien eher die Regel als die Ausnahme wären!

Und zu guter letzt soll es ja noch Leute geben, die rein zum Spaß programmieren und somit Deinen "spätestens"-Zeitpunkt nicht erreichen.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Moin, moin,

Wie ist das eigentlich: Wenn ich neue Programmversionen herausgebe.
Muß für die dann jedesmal ein neues Zertifikat beantragt werden?

Grüße // Martin

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Quatsch! Arrogant sollte das nicht klingen. Aber stell Dir mal vor, wenn es andersrum wäre: Ein anderer Global-Player (laß es Oracle oder SAP sein) verlangt von Microsoft, daß die das Betriebssystem für die Software lizenzieren - so nach dem Motto: "Windows Vista ist certified for SAP" oder "SAP Ready". Was meinste, was MS dazu sagen würde? Die wären dann genauso "arrogant".

Dagegen habe ich nichts - doch es sollte bezahlbar bleiben. Nicht jeder kleine Hobby-Programmierer kann mal so eben 500 Euronen hinknallen. Stell' Dir vor, wie arm unsere Softwarelandschaft wäre ohne die ganzen kleinen Tools, die das (IT)Leben so erfreulich machen? Und spätestens wenn MS mir noch mehr Steine in den Weg legt, damit meine Software läuft ohne das der Benutzer irgendwelche Klick-Orgien machen muß, höre ich mit Free- und Shareware auf. Ich kann dem Benutzer ja schlecht in der Doku empfehlen, daß er alle Sicherheitsriegel von Vista öffnen soll...

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Zum Glück nicht. Du musst Deine neuen Programmdateien dann lediglich mit Deinem bestehenden Zertifikat neu signieren. Das kannst Du beliebig oft wiederholen.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

gute frage ist ein Zitat von dir.

Ich erwarte ein Betriebsystem und alles was ich brauche um damit richtig arbeiten zu können. Patch und Updates sind doch auch kostenlos warum also die Zertifikate nicht? Das gehört doch quasi zum Produkt dazu.

Das habe ich nicht gesagt ich werde nur nicht gerne abgezockt.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ok, da bin ich ganz Deiner Meinung! Nur gegen das "ist nur sinnvoll um Microsofts Taschen zu füllen" hab ich etwas ;)

Was mir dazu gerade noch einfällt: wenn man mit seinem Personalausweis Heise an nem Messestand besucht, kann man dort seinen PGP-Key von Heise signieren lassen, was wie ich finde ein gutes Beispiel dafür ist, wie seriöse Signierung auch kostenlos oder zumindest günstig stattfinden kann.
Sowas ähnliches für Entwickler, die Privatpersonen sind, wäre sicherlich nicht schlecht.

Wo übrigens noch viel mehr "abgezockt" wird: für Symbian oder Windows Mobile muss man jede Signatur einzeln bezahlen! für den Authenticode-Windows-normal-Jahrespreis bekommt man da gerade mal 10 Signaturen, ist nicht viel mit Ausprobieren.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Hm wenn ich dass so verfolge, dann warte ich auf "Delphi für Wine"... // Grüße // Martin

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Gibt es für Dich, siehe erster Post im Thread (von Daniel). Wenn Du aber Deine Anwendung weitergeben willst, dann ist die nicht mehr für Dich sondern für andere. Und Microsoft macht die Zertifikate nicht selbst, da gibt es eine Menge anderer Anbieter. Somit können die Dir keine kostenfrei ausstellen ;)

Egal, ich sehe, dass Du der "Geiz ist geil"-Meinung nach läufst, die hier gar nicht passt. Somit wirst Du auf Deinem Standpunkt bleiben und ich auf meinem.

...:cat:...

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

So eine Zertifizierung gibt es. Jedoch Testet (i.d.R.) Oracle bzw. SAP selbst ob ihre (aktuellen) Versionen unter den neuen Windows-Versionen laufen und gibt diese erst danach frei.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Hanebüchend....

hier werden Zertifikate (für Signierung) mit dem Label "certified for" verwechselt. Bitte bitte informiert Euch doch mal vorher.

Ein Zertifikat, dass auf eine Person oder eine Firma/Organisation ausgestellt ist, stellt praktisch die digitale Identität dar. Wenn diese Person Programme schreibt, kann das Programm mit dem Zertifikat unterschrieben werden und ist somit dem Unterschreiber eindeutig zuzuordnen. Wenn das Zertifikat von einem der großen Anbieter ausgetstellt wurde, kann jedes Windows überprüfen, ob das Programm wirklich von dem Aussteller kommt und ob das Programm unverändert ist(!), also niemand falschen Programmcode eingeschmuggelt hat.

Wie oft ladet Ihr Programme von irgendeiner Webseite runter und habt keine Möglichkeit zu kontrollieren, ob das wirklich die Software ist, die der Webseiten-Inhaber Euch zur Verfügung stellen wollte? Trotzdem installiert Ihr die Software einfach, womöglich noch mit Adminrechten. Dass vielleicht ein Hacker schon längst das Programm ausgetauscht hat gegen einen Virus, Trojaner, ... bekommt Ihr gar nicht mit. Webserver-Hacks sind heute so alltäglich wie Verkehrsunfälle, selbst den ganz Großen passiert sowas.

Im Besten Fall würde man den Namen des Signierers mit dem DENIC-Eintrag der Domain vergleichen, dann kann man sicher sein, dass das Programm aus der angegebenen Quelle stammt. Ob man dieser Quelle vertraut, sei jedem selbst überlassen. Und ja, ich bin paranoid. Aber nur weil ich paranoid bin, heißt das noch lange nicht, dass SIE nicht trotzdem hinter mir her sind.

Ein Label "Certified for..." heißt dagegen, dass die Software einer Reihe von Tests unterzogen wurde und diese bestanden hat. Ohne jeden Zusammenhang mit (Signatur-)Zertifikaten.

Wartet einfach nur mal ein paar Jahre ab, dann wird eh jeder Internet-Bürger ein Zertifikat haben, für Online-Banking, für Behördengänge, für Mailversand/-empfang. Dann kann man damit halt auch Programme signieren.

Und wenn sich jemand wie im Orginalposting beschrieben, eine eigene Zertifizierungsstelle (Root-Zertifikat) erzeugt und damit seine Programme unterschreibt, ist das für den Privatgebrauch völlig ausreichend. Den öffentlichen Zertifikatsteil des Root-zertifikats (ohne den Private Key!!!) kann man ja an Freunde und Bekannte mitverteilen, dann können die alle weiteren Programmupdates überprüfen.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Hast ja recht. Dieser Thread ist ja sehr aus dem Ruder gelaufen (und ich mach kräftig mit :???:). Evtl. sollte man den Tread aufteilen. Einen Teil mit Für und wieder nach "Klatsch und Tratsch" und hier nur noch wenn was zum Tutorial zu sagen ist (Ergänzungen, Korrekturen, Verbesserungen).

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

sowas in der Art gibt es schon von Borland mit Kylix
Kylix - Wikipedia

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ich würde hier die Vergangenheitsform mit "gab es schon" verwenden. Ein Kylix auf aktueller Linux-Version zum laufen zu bekommen wird nicht gerade die einfachste Aufgabe sein.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Hallo,

ich habe da mal eine Frage am Rande zu diesem Thema. Wenn ich nur original Programme einsetze die ein digitales Zertifikat besitzen, brauche ich dann noch einen Virenscanner? Weil ich, so habe ich das hier in diesem Beitrag verstanden, ja zweifelsfrei feststellen kann wer der Verursacher für evt. Schäden ist.

Bis bald Chemiker

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Natürlich brauchst Du noch einen Virenscanner.

1. Wenn ein Programm digital signiert ist, garantiert dir das noch lange nicht, dass das Programm keinen Müll macht. Das entspricht eher so dem KFZ-Kennzeichen beim Auto (ohne TÜV!). Wenn Du feststellen solltest, dass das Programm fragwürdige Sachen macht (z.B. weil Dein Virenscanner Alarm schlägt), kannst Du Dich an den Unterzeichner wenden und auf die eine oder andere Art Genugtuung verlangen.

2. Du surfst ja auch und empfängst Mails. Da gibt es jede Menge Möglichkeiten, Dir etwas unterzujubeln, auch wenn Du nicht willentlich auf eine .exe klickst.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Das klingt ja nach einem Duell, aber ich weiß was Du meinst ;)

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Hallo Daniel,

erst einmal vielen Dank für Dein Tutorial!
Ich habe heute versucht, die Steps zu reproduzieren:

1) schlägt fehl. Wenn ich den Schalter "-pe" weglasse, wird jedoch eine .cer-Datei erstellt.

2) scheint zu funktionieren (keine Fehlermeldung)

3) kann nicht ausgeführt werden, weil signtool.exe nicht vorhanden ist.

Jetzt meine Frage: Welche Version des .NET SDK ist erforderlich?

TIA
KalwaDOS

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Eigentlich gar kein .NET-SDK, oder? signtool.exe und signcode.exe sind z.B. im Platform SDK enthalten, wenn ich mich nicht irre (brauchen dann nur irgendwelche VC-Runtimes, je nach Platform-SDK-Version, die man aber meist eh schon drauf hat).

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Nur wenn der Virus die veränderte Exe mit seiner Signatur neu Signiert :-)
Ansonsten meckert Windows uberhaupt nicht wenn eine Signatur kaputt ist. Dazu muß man schon in den Eigenschaften nachschauen bzw. im Code dieser Anwendung wird die Gültigkeit der Signatur überprüft.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ob Windows bei einer kaputten Signatur nicht meckert, wär ich mir nichtmal sicherer. Wichtiger aber: wär ich ein Virus, würd ich die Signatur einfach entfernen (nichtmal selber signieren), solange man Signaturen nicht irgendwo per Policy als Pflicht festlegt (und selbst dann ist ja nichtmal Vista soweit Certified for Vista, daß alle Betriebssystemdateien schon signiert wären), würd das wahrscheinlich nichtmal auffallen.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Aus dem Ursprungs-Artikel:
Darum meine Frage nach der Version des .NET-SDK.

KalwaDOS

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Das wollte Bernhard doch mal wissen. Wie geht das denn?

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

@KalwaDOS: Vielleicht sind diese Dateien ja auch in diversen SDKs drin. Hab gerade nochmal nachgeschaut, im bin-Ordner des Platform SDK for Win Server 2003 R2 sind beide Dateien definitiv enthalten.

@sh17: Im PE-Header (evtl. auch schon im MZ, müsste ich nachsehen) steht der Offset zur Signatur. Die Datei ab diesem Offset abschneiden, und den Offset auf 0 setzen. SecureBlackbox ist auch ne nette Sammlung, die nen Authenticode-Teil beinhaltet, der das imho auch kann.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Definitiv enthalten ist signtool.exe im .Net 2.0 SDK (371 MB)

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ich grabe mal hier diesen Thread aus:

Kennt jemand ne Seite, wo die Vor und Nachteile von den verschiedenen Zertifizierungsstellen gegenüberstellt werden?

Also, was kann ich mit einem Zertifikat von veriSign mehr machen als mit einem Zertifikat von Comodo?

Prinzipiell brauche ich mal "nur" die zertifizierung von "normalen" exe, von services (dll bzw. exe)
was noch nett wäre, wenn man auch dll signieren könnte, die dann in outlook oder andern Programmen verwendet werden.

Kann man (was ja nur bei VeriSign geht oder?) dieses Winqual auch gut nutzen?
Nutze im Moment ne eigene ExceptionHandling, das eine sehr detailierte Exception Report erstellt, was ist da der vorteil von dem Winqual, und läuft das auch gut mit Delphi?

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Zertifikate sind so ein Schwachsinn...

Man zahlt Geld an Verisign usw. und die geben einem ein Zertifikat, dies sagt aber nix darüber aus, ob mein Programm vertrauenswürdig ist oder nicht, es sagt nur aus, daß ich bei zB Verisign bereit war Geld auszugeben...mehr nicht.

Ich kann ein richtig böses Programm schreiben.
Dann kaufe ich ein Zertifikat von Verisign usw. und benutze es in meinem bösen Programm.

Verisign und die anderen prüfen weder mein Programm noch meine Identität.

Zertifikate = der größte Schwachsinn seit es Programme gibt bzw. ne geile Idee mit nix Geld zu verdienen

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Aber sie können nach bekannt werden der Boshaftigkeit das Zertifikat für ungültig erklären und damit würde es zu Problemen führen bei der Nutzung deines Programmes bzw. einen deutlicheren Hinweis geben. Die Zertifikate aktualisiert Windows automatisch öfters.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ob Schwachsinn oder nicht, wenn man kommerziell Geld mit Programmen verdient, dann kann man schon mal etwas Geld ausgeben, damit der Benutzer zumindest sicherstellen kann, das dieses Programm von meiner Firma kommt, und da die benutzer mir trauen, wissen die dann zumindest, aha, das kann ich ohne probleme ausführen.

Nur bin ich mir noch nicht sicher, ob man diese billigen von http://www.ksoftware.net/code_signing.html auch verwenden kann, oder ob man dann später mal drauf kommt, wäre doch eines von verisign besser gewesen

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Dann ist es doch schon zu spät...ich als "Böser" hab doch in dem Moment schon erreicht was ich wollte ;)

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Die Identität wird beim Kauf eines Zertifikates nicht überprüft, ich könnte auch vorgaukeln ein anderer zu sein.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Doch wird sie. z.B. wird entweder Bestätigung von Notar oder eine Telefonrechnung von Telefonkonzern angefordert sowie Rückruf auf (per Telefonbuch überprüfte Telefonnummer?) getätigt (Jedenfalls bei Verisign). Diverse günstiger Anbieter könnten es u.U. mit weniger sorgfalt Betreiben um Kosten zu sparen. 100% sicher ist es nicht, denn sonst wären keine 2 zurückgezogenenen Zertifikate unter Windows vorhanden die eine Privatperson (Firma?) als Microsoft getätigt hat.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Das ist mir neu Bernhard.

Ein Freund von mir hat bei Verisign ein Zertifikat gekauft, da sein Kunden unbedingt wollte, daß er eins kaufen sollte.
Laut seinen Aussagen hat er nur ein Zertifikat bestellt, diesen bezahlt und dann hatte er es ohne jegliche Prüfung.

Mag sein, daß die nach ein paar Missbrauchsfällen eine Kontrolle eingeführt haben, aber zu dem Zeitpunkt als er es gekauft hat, wurde definitiv nix überprüft.

Ich würde mir wünschen, daß diese Zertifikateanbieter viel mehr restriktivere Prüfungen vornehmen und diese von mir aus auch sich bezahlen lassen.
Dann kann der Kunde wenigstens sich auf etwas einigermassen verlassen.

Ganz ohne Prüfung ist das Ganze mit den Zertifikaten mehr Schein als Sein.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Stimm ich dir voll zu. Auch der Weg von Verisign hat seine Angriffmöglichkeiten. So war die letzte überprüfung ein Witz. Anruf von Verisign (an meine Tel.Nr um bitte doch mit Geschäftsführer zu verbinden. Hätte ich jetzt meinen Kollegen gebeten "Chef zu spielen" wäre es kein Problem gewesen da nur einfache Dinge abgefragt wurden (AFAIK Vorname, Geburtsdatum, ...)