Technologie einfach erklärt

So überprüfen Sie die Authentizität von Windows-Software mit digitalen Signaturen

Überprüfen Sie Software-Signaturen Featured

Jedes Mal, wenn Sie ein Programm aus dem Internet herunterladen, müssen Sie dem Entwickler vertrauen, dass es nicht bösartig ist. Daran führt kein Weg vorbei. Aber das ist normalerweise kein Problem, insbesondere bei bekannten Software- und Entwickler.

Websites, die Software hosten, sind jedoch anfälliger. Angreifer können die Sicherheit einer Website untergraben und Programme durch ihre eigenen, bösartigen Versionen ersetzen. Dies sieht aus und funktioniert genau wie das Original, außer dass es eine Hintertür enthält. Mit dieser Hintertür können Angreifer verschiedene Teile Ihres normalen Alltagscomputings kontrollieren. Ihr Computer wird entweder in ein Botnetz eingefügt oder, schlimmer noch, das Programm wartet, bis Sie Ihre Kredit-/Debitkarte verwenden, und stiehlt deren Anmeldeinformationen. Sie sollten besonders vorsichtig sein, wenn Sie wichtige Software wie ein Betriebssystem, eine Kryptowährungs-Wallet oder Ähnliches herunterladen.

Digitale Signaturen können den Tag retten

Softwareautoren können ihre Produkte signieren. Es gibt keinen bekannten Weg, wie jemand diese Signatur fälschen kann, es sei denn, ein Angreifer kann ihren privaten Schlüssel stehlen. Es gibt zahlreiche Fälle, in denen Tausende von Benutzern bösartige Programme heruntergeladen haben, und in fast jedem Fall hätten sie, wenn sie die digitalen Signaturen überprüft hätten, bemerkt, dass diese ungültig waren, und so die Situation vermieden. Es ist relativ einfach, Software auf einer anfälligen Website zu ersetzen, aber unglaublich schwer, einen privaten Schlüssel zu stehlen, der ordnungsgemäß gespeichert und vom Internetzugang isoliert ist.

Sie können hier viel mehr über digitale Signaturen lesen. Dieser Artikel behandelt dasselbe, nur dass Sie Windows-Dienstprogramme verwenden werden, um Downloads zu validieren.

So verwenden Sie Gpg4win zur Überprüfung digitaler Signaturen

Gehen Sie zu dieser Seite und laden Sie Gpg4win herunter und installieren Sie es. Schlaue Leute werden sich fragen: “Aber wie weiß ich, dass dies legitim ist?” Und das ist eine gute Frage. Wenn dies gebrochen wäre, wären alle späteren Schritte nutzlos.

Glücklicherweise hat der Entwickler sich die Mühe gemacht, seine Software von einer Zertifizierungsstelle signieren zu lassen. Und er beschreibt die Schritte zur Überprüfung seines Programms auf seiner Website. Obwohl ähnliche Kryptografie verwendet wird, um die Gültigkeit zu überprüfen, ist die allgemeine Methode anders. Digitale Zertifikate werden dafür verwendet.

Überprüfen Sie die Datei-Prüfziffern

Angenommen, Sie möchten die Bitcoin Core-Wallet herunterladen. Laden Sie die x64 Windows ausführbare Datei (exe, nicht zip) herunter. Klicken Sie anschließend auf “Release-Signaturen überprüfen”, um die Datei “SHA256SUMS.asc” herunterzuladen. Der erste Schritt besteht darin, den Hash der Setup-Datei zu überprüfen. Sie können hier mehr über Hashes lesen.

Gehen Sie zu Ihrem Download-Ordner, und mit Gpg4win installiert, können Sie jetzt mit der rechten Maustaste auf eine Datei klicken, und ein neues Kontextmenü wird erscheinen. Klicken Sie mit der rechten Maustaste auf die Bitcoin-Setup-Datei (die exe, die Sie heruntergeladen haben) und wählen Sie “Weitere GpgEX-Optionen -> Prüfziffern erstellen”, wie im Bild unten.

Überprüfen Sie Software-Signaturen Rechtsklick Prüfziffern

Öffnen Sie sowohl “sha256sum.txt”, das generiert wurde, als auch “SHA256SUMS.asc”, das Sie heruntergeladen haben. Vergleichen Sie die SHA256-Prüfziffern. Sie sollten perfekt übereinstimmen.

Überprüfen Sie Software-Signaturen Vergleichen Sie SHA256-Prüfziffern

Überprüfen Sie die Signatur der Datei, die die Prüfziffern auflistet

Während Sie gerade eine Setup-Datei und eine Liste von Prüfziffern von derselben Website heruntergeladen haben, könnte ein Angreifer die Setup-Datei leicht ersetzen, er könnte auch die Liste der Prüfziffern ersetzen. Was er jedoch nicht tun kann, ist, eine Signatur zu fälschen. Diese kann durch einen bekannten (legitimen) öffentlichen Schlüssel validiert werden. Zuerst müssen Sie diesen Schlüssel herunterladen.

Das folgende Bild zeigt, wie eine Signatur aussieht.

Überprüfen Sie Software-Signaturen Inline-Signaturbeispiel

Dies ist eine Inline-Signatur (in der gleichen Datei enthalten, die sie validiert). Manchmal wird diese abgetrennt und in einer separaten Datei enthalten. Wenn Sie nur einen Buchstaben in dieser Textdatei ändern, wird die Signatur ungültig. Dies ist eine Möglichkeit zu wissen, dass der Entwickler diese genauen, spezifischen Inhalte mit den richtigen Prüfziffern genehmigt und signiert hat.

Importieren Sie den öffentlichen Schlüssel des Entwicklers

Sie haben die öffentlichen Schlüssel zum Download unter “Bitcoin Core Release Signing Keys” auf der Download-Seite von Bitcoin verfügbar. Als Vorsichtsmaßnahme können Sie sie aus einer anderen Quelle herunterladen. Wenn ein Angreifer die legitimen Schlüssel durch seine eigenen ersetzt hat, besteht eine gute Chance, dass wir die richtigen Schlüssel (und Fingerabdrücke) an allen anderen Orten finden, an denen sie veröffentlicht oder diskutiert wurden.

Klicken Sie mit der rechten Maustaste auf “SHA256SUMS.asc” und wählen Sie “Entschlüsseln und Überprüfen”. Das Programm wird Ihnen sagen, dass Sie den öffentlichen Schlüssel noch nicht haben. Klicken Sie auf “Suchen”.

Überprüfen Sie Software-Signaturen Suche nach öffentlichem Schlüssel

Die Suche kann eine Weile dauern. Notieren Sie sich die Zeichenfolge im Feld “Finden”.

Überprüfen Sie Software-Signaturen Schlüssel-Fingerabdruck

Sie können dies kopieren und in Google einfügen, um zu sehen, ob dieser öffentliche Schlüssel-Fingerabdruck in legitimen Forenthreads/Websites usw. diskutiert wurde. Je mehr Orte Sie ihn finden, desto sicherer können Sie sein, dass er dem beabsichtigten Eigentümer gehört.

Klicken Sie auf den Schlüssel und importieren Sie ihn. Sie können im nächsten Prompt, den Sie erhalten (Maßnahmen zur Zertifizierung des Schlüssels ergreifen), auf “Nein” klicken, wenn Sie nicht wissen, wie oder dies jetzt nicht tun möchten.

Klicken Sie schließlich auf “Audit-Protokoll anzeigen”.

Überprüfen Sie Software-Signaturen Audit-Protokoll anzeigen

Sie sollten den Text sehen, der im nächsten Bild hervorgehoben wurde, “Gute Signatur.”

Überprüfen Sie Software-Signaturen Gute Signatur

Versuchen Sie, nur einen Buchstaben in “SHA256SUMS.asc” zu ändern, und Sie erhalten, was im folgenden Bild dargestellt ist.

Überprüfen Sie Software-Signaturen Schlechte Signatur

Fazit

Wenige Entwickler geben Ihnen die Möglichkeit zu überprüfen, dass ihre Software von ihnen stammt. Aber normalerweise bieten Programme, die mit sensiblen Daten umgehen oder sehr wichtig sind, Ihnen diese Option. Nutzen Sie sie, und es könnte Sie eines Tages vor Problemen bewahren.

Inhalt

  1. Digitale Signaturen können den Tag retten
  2. So verwenden Sie Gpg4win zur Überprüfung digitaler Signaturen
  3. Überprüfen Sie die Datei-Prüfziffern
  4. Überprüfen Sie die Signatur der Datei, die die Prüfziffern auflistet
  5. Importieren Sie den öffentlichen Schlüssel des Entwicklers
  6. Fazit
Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11