AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Sprachen und Entwicklungsumgebungen Die Delphi-IDE Ein paar Fragen zum Code-Siging-Zertifkat
Thema durchsuchen
Ansicht
Themen-Optionen

Ein paar Fragen zum Code-Siging-Zertifkat

Ein Thema von Hobbycoder · begonnen am 17. Nov 2017 · letzter Beitrag vom 18. Nov 2017
Antwort Antwort
Hobbycoder

Registriert seit: 22. Feb 2017
955 Beiträge
 
#1

Ein paar Fragen zum Code-Siging-Zertifkat

  Alt 17. Nov 2017, 18:42
Hi,

ich habe mir ein Code-Signing-cerficate über KSoftware vom Comodo ausstellen lassen.
Das habe ich heute über die Webseite von Comodo installiert bekommen.

Dazu hätte ich noch ein paar Fragen, bei deren Beantwortung ihr mir vielleicht helfen könnt:

1. Was muss ich aus meinem Zertifkatsspeicher alles sichern, damit ich im Falle eine Totalcrash des Rechners/Windows und einer Neuinstallation das Zertikat vollständig wieder herstellen kann?
Bei der Installation des Zertifikats von Comodo hieß es, ich muss das unbedingt auf dem Rechner machen, von dem aus ich das Zertifikat beantragt habe.
Reicht es aus, das Zertifikat über die mmc zu exportieren? Muss ich das Comodo-Zertifikat auch noch exportieren?

2. Wenn ich damit per KSign von KSoftware eine Anwendung signieren möchte, dann verwende ich das exportierte Zertikat (.pfx)? Oder muss ich damit erst noch was machen. Nicht dass dann jemand aus der Anwendung das Zertifikat extrahieren kann. (Ich muss zugeben, dass ich von dem ganzen Zertifizierungsgedöns sehr wenig Ahnung habe, und recht unsicher unterwegs bin).

3. Der einzige Unterschied, der mir zwischen der nicht zertifierten und der zertifizierten Anwendung auffällt ist, dass das Hinweisfenster (welches kommt, wenn die Anwendung mit Adminrechten ausgeführt wird) eine andere Farbe hat. Klar steht jetzt noch mein Name drin, aber wer liest das denn wirklich. Gibt es noch andere Auswirkungen, die ich bisher noch nicht bemerkt habe (z.B. bei der Ausführung auf einem Server vielleicht)?

4. Beim Hinweisfenster, das beim Starten kommt, kann ich mir das Zertifikat anschauen. Mehr nicht. Wenn ich mir aber die Eigenschaften der EXE anschaue, dann kann ich das Zertifikat installieren. Welchen Sinn macht das, bzw. wenn das ein Anwender macht, hat er dann mein Zertifikat, oder vertraut er dann generell meinen zertifizierten Anwendungen?

5. Mach es Sinn auch eine Serviceanwendung zu zertifizieren? (Mal abgesehen davon, dass er Anwender sich das über die Eigenschaften der EXE anschauen kann).

Danke für eure Erleuchtung
Gruß Hobbycoder
Alle sagten: "Das geht nicht.". Dann kam einer, der wusste das nicht, und hat's einfach gemacht.
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#2

AW: Ein paar Fragen zum Code-Siging-Zertifkat

  Alt 18. Nov 2017, 02:20
Hi,
1. Was muss ich aus meinem Zertifkatsspeicher alles sichern, damit ich im Falle eine Totalcrash des Rechners/Windows und einer Neuinstallation das Zertikat vollständig wieder herstellen kann?
Bei der Installation des Zertifikats von Comodo hieß es, ich muss das unbedingt auf dem Rechner machen, von dem aus ich das Zertifikat beantragt habe.
Reicht es aus, das Zertifikat über die mmc zu exportieren? Muss ich das Comodo-Zertifikat auch noch exportieren?
Auf jeden Fall den privaten Schlüssel.

2. Wenn ich damit per KSign von KSoftware eine Anwendung signieren möchte, dann verwende ich das exportierte Zertikat (.pfx)?
Eine Signatur funktioniert mit public/private Key Verfahren. Die Signatur enthält nicht den privaten Schlüssel.

3. Der einzige Unterschied, der mir zwischen der nicht zertifierten und der zertifizierten Anwendung auffällt ist, dass das Hinweisfenster (welches kommt, wenn die Anwendung mit Adminrechten ausgeführt wird) eine andere Farbe hat. Klar steht jetzt noch mein Name drin, aber wer liest das denn wirklich. Gibt es noch andere Auswirkungen, die ich bisher noch nicht bemerkt habe (z.B. bei der Ausführung auf einem Server vielleicht)?
Ja, man kann Windows dazu bringen, dass nur signiert Software ausgeführt wird. Treiber müssen sogar signiert sein. Wenn du ein Verisign Zert hättest, dann könntest du noch das Windows Error Reporting nutzen.
5. Mach es Sinn auch eine Serviceanwendung zu zertifizieren? (Mal abgesehen davon, dass er Anwender sich das über die Eigenschaften der EXE anschauen kann).
Jedes Binary sollte signiert sein, alle DLLs und alle EXEn.


Hast du nicht gefragt aber:
6. verwende IMMER einen Timestampserver bei der Signierung.
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/@codingbott
  Mit Zitat antworten Zitat
CCRDude

Registriert seit: 9. Jun 2011
678 Beiträge
 
FreePascal / Lazarus
 
#3

AW: Ein paar Fragen zum Code-Siging-Zertifkat

  Alt 18. Nov 2017, 10:18
2. Ich kenne ksign nicht, aber signtool kann man angeben, dass es das entweder aus dem Certificate Store (per Hash oder Teil des Namens) oder aus einer Datei (deine pfx) nimmt. Muss also nicht die exportierte Datei sein, die würde ich aus Sicherheitsgründen "wegschließen" (TrueCrypt-Archiv auf Backupmedium o.ä.), selbst wenn sie auch passwortgeschützt ist.

3. Diverse Microsoft-Abkommen schreiben eine Signierung vor. Treiber müssen inzwischen nicht nur signiert, sondern auf SecureBoot-Systemen sogar von MS co-signiert sein.

Ich lese das übrigens Und ich kenne von unseren Anwendern, dass die auch viel Wert darauf legen, haben wir direkt gemerkt, als Updates einmal ungeschickt signiert waren.
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:47 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz