Gastkommentar von Joachim Gebauer, Regional Technical Manager, VeriSign Authentication Business, nun Teil von Symantec.
Apps für mobile Geräte liegen voll im Trend. Sie können einfach heruntergeladen und direkt aus dem Internet aktualisiert werden. Innovative Entwicklungen verbessern Webseiten, mobile Geräte und Desktop-Software für Arbeit und Freizeit. Jeder will die neuesten Apps. Doch wie sicher sind diese Mini-Applikationen?
Die Endgeräte der User infizieren sich immer häufiger mit sogenannter Malware. Diese Schadsoftware verbreitet sich über Download und Updates. Sie stellt Soft- und Hardwarehersteller vor ein großes Problem: Sie wollen Innovationen fördern, aber gleichzeitig ihre Produkte schützen. Einerseits geht es um Sicherheit, andererseits wollen sie ihren Kunden immer die neuesten Produkte zur Verfügung stellen.
Immer mehr Kunden laden Anwendungen online herunter, installieren Plug-ins und Add-ins und interagieren mit ausgefeilten webbasierten Anwendungen. Wenn sie einen bösartigen oder fehlerhaften Code herunterladen, riskieren sie ihre Sicherheit und die Funktionalität bestehender Systeme. Woher sollen Endanwender, Software-Plattformen und Soziale Netzwerke wissen, welchen Angeboten sie trauen können?
Eine mögliche Antwort ist der Einsatz von Code Signing. Code Signing erstellt eine Art digitaler „Schrumpffolie“ (shrink wrap), die dem Kunden die Identität des für den Code verantwortlichen Unternehmens zeigt und bestätigt, dass dieser seit der Signatur nicht mehr verändert wurde. Beim herkömmlichen Softwarevertrieb kann ein Käufer die Quelle der Anwendung und ihre Integrität aufgrund der Verpackung bestätigen.
Als einfacher Kontrollmechanismus ermöglicht Code Signing dem Kunden das sichere Herunterladen von Software auf PCs oder mobile Geräte. Das geistige Eigentum der Programmierer und die Rechner der Nutzer können geschützt, lästige Popup-Warnungen beim Download unterdrückt und Kriminelle vom Shopbetreiber daran gehindert werden, im Namen des Herstellers gefälschte Software oder Malware in Umlauf zu bringen. So sind alle am Download und Kauf Beteiligten auf der sicheren Seite: Hersteller, Shopbetreiber und Käufer.
Die Wahl: selbst signierte Zertifikate oder Zertifikate von Anbietern?
Einige Software-Hersteller verwenden keine Code Signing-Zertifikate von vertrauenswürdigen Anbietern wie VeriSign, sondern unterzeichnen ihre Quell-Codes, also ihre Software, selbst. Wie der Name sagt, ist selbstsignierter Code direkt von seinem Urheber unterzeichnet. Dadurch gibt es keine allerdings Bestätigung eines unabhängigen Dritten, dass der Entwickler tatsächlich derjenige ist, der die Software veröffentlicht hat. Folglich wird der Endbenutzer mit der Frage zurückgelassen, ob die Software tatsächlich frei von Manipulation ist. Hinzu kommt, dass digitale Zertifikate mit selbstsigniertem Code nicht widerrufen werden können. So kann ein Hacker, der bereits Zugang zum System eines Endbenutzers hat, leicht Datendiebstahl begehen.
VeriSign Code Signing schützt Marken und geistiges Eigentum, indem Anwendungen dank einer digitalen Signatur identifizierbar und schwieriger zu fälschen oder zu beschädigen sind. Code- und Content Signing basieren auf der Verschlüsselung über einen öffentlichen Schlüssel:
- Ein Entwickler oder Softwarehersteller verwendet einen privaten Schlüssel, um dem Code oder Inhalt eine digitale Signatur hinzuzufügen.
- Der Code wird auf eine Webseite oder ein mobiles Netzwerk hochgeladen oder anderweitig zum Download zur Verfügung gestellt.
- Software-Plattformen und Anwendungen verwenden einen öffentlichen Schlüssel für die Entschlüsselung der Signatur beim Herunterladen und vergleichen den Hashcode, der für die Signatur der Anwendung verwendet wurde, mit dem Hashcode der heruntergeladenen Anwendung.
- Signierter Code einer vertrauenswürdigen Quelle wird entweder automatisch akzeptiert oder es erscheint eine Sicherheitswarnung, die den Endanwender auffordert, sich die Signatur-Informationen anzusehen und zu entscheiden, ob er dem Code vertraut oder nicht (je nach Plattform, Anwendung und Sicherheitseinstellungen des Client).
Indem man einen Schlüssel verwendet, der von einem seriösen Drittanbieter erstellt wurde, gewinnt die Sicherheit von Code Signing zusätzlich an Gewicht. Der Zertifizierung durch einen Dritten vertrauen Shopbetreiber und Endbenutzer eher als einer Selbstzertifizierung, da sich der Antragsteller des Zertifikats ja einer offiziellen Überprüfung oder Authentifizierung unterziehen musste. Wenn Software-Plattformen und Anwendungen eine digitale Signatur verifizieren, greifen sie auf ein “Root”-Zertifikat zu, um herauszufinden, ob sie der Zertifizierungsstelle (CA), die das Zertifikat ausgestellt hat, sie vertrauen können oder nicht.
Ein kleines Anwenderbeispiel
Der Online-Software-Anbieter MuvEnum hat positive Erfahrungen mit Code Signing gemacht. Vor dem Einsatz von Code Signing verzeichnete MuvEnum Umsatzeinbußen beim Verkauf von Online-Software, weil Nutzer wiederholt durch Warnungen vor nicht signierten Downloads vorm Download zurückschreckten. Durch Code Signing-Zertifikate konnten diese Warnungen beseitigt und Kunden zum sicheren Download ermutigt werden. Der Absatz stieg um mehr als 21 Prozent, nachdem das Unternehmen Code Signing-Zertifikate vonVeriSign eingeführt hatte.
Unterm Strich
Code Signing hilft Software-Herstellern und Shopbetreibern, eine vertrauensvolle Bindung zu ihren Kunden herzustellen. Sie können die Echtheit der Apps sicherstellen und garantieren, dass die heruntergeladene Software nicht manipuliert wurde. Auf diese Weise können sie die Vorteile des Internets für den Software-Vertrieb vollständig ausnutzen.