Laden...

Überschreiben von digitalen Signaturen

Erstellt von Jelly vor 13 Jahren Letzter Beitrag vor 13 Jahren 1.418 Views
J
Jelly Themenstarter:in
1.114 Beiträge seit 2007
vor 13 Jahren
Überschreiben von digitalen Signaturen

Ich hab da mal eine Konzeptfrage.

Ich besitze ein Class 2 Zertifikat zum Signieren von EXE, DLL und MSI. Damit ist also der Ursprung der Software beim Kunden als glaubwürdig eingestuft.

Mir ist jetzt aber aufgefallen, dass ich mit meinem Zertifikat nun jede andere bereits VON MIR NICHT signierte Anwendung, also fremde Anwendung, diese Signatur durch die meinige ersetzen kann.

Das kann mir vielleicht mal einer erklären. Somit kann ich doch Software als meine vorgaukeln, obwohl sie gar nicht von mir ist.

Das kann doch aber nicht Sinn und Zweck von digitalen Codesignaturen sein?

2.891 Beiträge seit 2004
vor 13 Jahren

Betrachte das doch mal aus Sicht des Kunden:

Wenn du eine fremde Software mit deinem Zertifikat ausstattest, vertraut der Kunde der Software (weil er dir vertraut). Wenn du sagst, die Software ist von dir (geprüft und für gut befunden), dann ist für den Kunden alles OK. Und er kann dich verantwortlich machen, wenn die Software nicht geht.

Wenn andersherum jemand fremdes deine Anwendung als seine ausgibt und deinem Kunden gibt, dann sieht dein Kunde, dass sie nicht von dir ist und vertraut dem Ganzen nicht. Also wieder für den Kunden alles OK (weil er die Software nicht installiert, da er nur dir vertraut).

Gruß,
dN!3L

J
Jelly Themenstarter:in
1.114 Beiträge seit 2007
vor 13 Jahren

Stimmt, so gesehen natürlich völlig nachvollziehbar.

Meine Signatur besagt also letztlich nur, dass ich die Software signiert habe, und sie so dem Kunden gegeben habe. Ein anderer kann ja meine Signatur nicht anhängen, dazu fehlt ihm der private Key und das zugehörige Passwort.

Ich hatte da wohl einen Querdenker 😁
Danke für die Aufklärung

C
25 Beiträge seit 2010
vor 13 Jahren

Ich habe mich mal sowas Ähnliches gefragt und das kam bei rum: Ist Codesignierung Geldverschwendung?