Richtiger Umgang mit selbsterstellten Zertifikate?

**GtaSpider**

Hey,

Ich bin gerade dabei ein Gerät zu entwickeln, welches mit Windows 7 läuft, und wo der Kunde nachher ein Administrator Konto mit vollen Rechten und ein Benutzterkonto fast ohne Rechte hat. Vorstellen kann man sich das ungefähr wie ein Internet-Kiosk-PC in dem der Benutzter nichts anderes machen darf außer bestimmte EXE Dateien zu öffnen, die von mir Programmiert wurden.

Ich habe das Problem gelöst mit dem Windows eigenen Software Restriction Protocol (SRP) und selbst erstellen Zertifikaten mit openSSL (Stamm- und Zwischenzertifizerungsstellen) mit denen ich die jeweiligen ausführbaren Dateien Zertifiziert habe (SignTool).

Nun meine Frage: Wie gehe ich mit diesen Zertifikaten richtig um? Wie lange sollten die Zertifikate gültig sein? 1 Jahr? 10 Jahre? 100 Jahre? Je länger, desto unsicherer, aber natürlich soll das System auch noch in einem Jahr funktionieren. Gibt es eine elegante Möglichkeit wie man eigene Zertifikate Updated mit einem Script? Oder geht man hier ganz anders vor?

Viele Dank,
Gruß,
Spider

olfibits

Hallo,

falls das noch aktuell ist:
- Vorgehen 1: die Zertifikate sind solange gültig, wie der Kunde es braucht. Richte mal 100 Jahre ein, der wird ja auch nicht das ewige Leben haben.
- Vorgehen 2: Wenn die Programme von dir endgültig stehen, berechne MD5/SHA1 Quersummen. Immer, wenn ein Programm gestartet wird und die MD5 Summe in der Datenbank letztendlich ist, darf das Programm gestartet werden. Auch so was kann man mit AutoIt konstruieren. Dazu musst du allerdings leicht unkonventionelle Systemeingriffe vornehmen. Vergleichbar ist das mit einem Virus/Rootkit, das das Ausführen von bestimmten Programmen (z.B. avscan.exe, updaterGUI.exe) nicht erlaubt. Nur, dass du da eine Whitelist brauchst mit den MD5-Codes und nicht mit den Dateinamen, sonst kann ja jeder einen Virus GtaSpiderExplorer.exe oder sonstwie aus deiner Datenbank nennen. Genau das ist ja die Möglichkeit, wenn Anti-Malware-Tools dann z.B. nicht mehr mbam.exe sondern iexplore.exe heißen. Wenn das dann ein Virus wäre und der zugelassen würde... wie auch immer. Soviel dazu, das wäre in meinen Augen sicherer. Ob das funktioniert, weiß ich nicht

LG
olfibits

**BugFix**

Zitat von olfibits

MD5/SHA1

Das meinst du doch nicht wirklich ernst? Beide Verfahren sind nachweislich kompromittiert und gelten nach dem heutigen Stand der Technik als nicht sicher.

olfibits

sry, das wusste ich nicht.
Welche Quersummen gehen sonsr noch? CRC?

**BugFix**

Ich würde auf den als offiziellen Standard anerkannten SHA-3 setzen. Ein Tool dafür findest du z.B. Hier: https://github.com/maandree/sha3sum