Code Signing – Ein großer Schritt zu mehr Sicherheit in Softwarepaketierung

Inhaltsverzeichnis

Bei der Paketierung von Software für Microsoft Windows werden die Pakete meist mit Hilfe der Skripting-Sprachen Powershell und Visual Basic Script oder mit Windows Installer bereitgestellt. In den meisten Fällen werden die Pakete nach Bereitstellung von internen Mitarbeitern in Softwareverteilungstools wie etwa Microsoft Configuration Manager oder Intune importiert.

Dieser Prozess ist jedoch mit Risiken verbunden, da die bereitgestellten Dateien editierbar sind und auf dem Weg von Softwarepaketierer zu Verteilungstool versehentlich geändert werden können. Diese Sicherheitslücke kann im schlimmsten Fall auch von Cybercriminals ausgenutzt werden, um die Software direkt oder mit Hilfe von Malware zu manipulieren. Die Installation einer manipulierten Software kann erheblichen Schaden verursachen – von unbrauchbaren Dateien bis zur unternehmensweiten Verbreitung von schädlicher Malware oder Ransomware.

Solche Szenarien können allerdings mit Code Signing leicht verhindert werden.

Code signing
© Bild: Adobe Stock

Was ist Code Signing?

Code Signing nennt man den Prozess eine Datei zu signieren. Diese Signatur wird der Software hinzugefügt, um dem Benutzer zu signalisieren, dass der Code nach der Signatur nicht manipuliert wurde. So wird das Programm oder das gesamte Softwarepaket durch die Signatur verifiziert und vor weiterer, unautorisierter Bearbeitung geschützt.

 

Wie funktioniert Code Signing?

Um Dateien zu signieren, wird üblicherweise ein kryptografisches Schlüsselpaar genutzt. Dieses besteht aus einem privaten und einem öffentlichen Schlüssel. Die Schlüssel werden bei Erstellung eines Zertifikates generiert. Das Zertifikat wird meist vom Hersteller der Software oder des Softwarepakets über eine Zertifizierungsstelle beantragt. Der öffentliche Schlüssel ist Teil des Zertifikats und bildet ein Schlüsselpaar mit dem privaten Schlüssel. Diese Schlüssel sind mathematisch miteinander verknüpft.

Um dem Benutzer zu bestätigen, dass die Datei nicht nachträglich manipuliert wurde, generiert der Hersteller einen Hashwert der Datei und signiert diesen mit seinem privaten Schlüssel. Der Hashwert ist eine eindeutige Zeichenfolge mit fester Länge als Abbildung einer anderen Zeichenfolge beliebiger Länge. Bei Hashwerten, die mit einer “Einweg-Hashfunktion” abgebildet wurden, gibt es für jede Zeichenfolge nur einen eindeutigen Hashwert.

Bei dem Endbenutzer wird einen Hashwert generiert und mit dem signierten Hashwert verglichen. Wenn diese übereinstimmen, wurde mit der Datei nicht manipuliert.

Code signiert
© Bild: Adobe Stock

Wie wird Code Signing in Unternehmen genutzt?

Besonders in Microsoft Enterprise Umgebungen ist es leicht unsignierte Skripte an der Ausführung und Installation zu hindern. In On-premise Active Directory, beispielsweise, kann dies via Group Policy eingestellt werden, während sie in MDM via Intune über Configuration Profiles eingerichtet werden kann.

Sicherheit für Kunde und Hersteller

Viele Hersteller von Software greifen heutzutage oft auf Code Signing zurück, um Sicherheitslücken zu minimieren und das Vertrauen ihrer Kunden zu stärken. Die bestätigte Authentizität der Software sichert sowohl den Benutzer als auch den Hersteller ab und erlaubt so den vertrauenswürdigen und sicheren Vertrieb des Produkts. All das bedeutet auf Dauer auch eine wesentliche Kosteneinsparung. Die Vorteile von Code Signing sprechen für sich, weshalb mittlerweile viele Drittanbieter und Vertreiber signierte Software bevorzugen.

Auch in der Softwarepaketierung ist Code Signing ein wichtiger Schritt zur Absicherung der Pakete für den Kunden. Wenn die Dateien der Softwarepaketen signiert werden, können sie weder aus Versehen noch gezielt geändert werden. Dies ist heutzutage insbesondere wichtig, da es in diesen Zeiten sehr viele schädliche Software und Angriffen von Cybercriminals gibt.

Sollten Sie zu diesem Thema noch weitere Fragen haben oder sich noch nicht sicher sein, ob ein solcher Service das Richtige für Sie ist, kontaktieren Sie uns gern und sichern Sie sich ein kostenloses Erstgespräch.

Gratis Beratung

Sprich mit einem unserer Experten und lerne alles über unseren monatlichen Paketierungs-Service!

Entdecke jetzt, wie du in einer sicheren Umgebung ohne Stress und hohen Kosten arbeiten kannst.