Richtiger Umgang mit selbsterstellten Zertifikate?

    • Offizieller Beitrag

    Hey,

    Ich bin gerade dabei ein Gerät zu entwickeln, welches mit Windows 7 läuft, und wo der Kunde nachher ein Administrator Konto mit vollen Rechten und ein Benutzterkonto fast ohne Rechte hat. Vorstellen kann man sich das ungefähr wie ein Internet-Kiosk-PC in dem der Benutzter nichts anderes machen darf außer bestimmte EXE Dateien zu öffnen, die von mir Programmiert wurden.

    Ich habe das Problem gelöst mit dem Windows eigenen Software Restriction Protocol (SRP) und selbst erstellen Zertifikaten mit openSSL (Stamm- und Zwischenzertifizerungsstellen) mit denen ich die jeweiligen ausführbaren Dateien Zertifiziert habe (SignTool).

    Nun meine Frage: Wie gehe ich mit diesen Zertifikaten richtig um? Wie lange sollten die Zertifikate gültig sein? 1 Jahr? 10 Jahre? 100 Jahre? Je länger, desto unsicherer, aber natürlich soll das System auch noch in einem Jahr funktionieren. Gibt es eine elegante Möglichkeit wie man eigene Zertifikate Updated mit einem Script? Oder geht man hier ganz anders vor?

    Viele Dank,
    Gruß,
    Spider

  • Hallo,

    falls das noch aktuell ist:
    - Vorgehen 1: die Zertifikate sind solange gültig, wie der Kunde es braucht. Richte mal 100 Jahre ein, der wird ja auch nicht das ewige Leben haben.
    - Vorgehen 2: Wenn die Programme von dir endgültig stehen, berechne MD5/SHA1 Quersummen. Immer, wenn ein Programm gestartet wird und die MD5 Summe in der Datenbank letztendlich ist, darf das Programm gestartet werden. Auch so was kann man mit AutoIt konstruieren. Dazu musst du allerdings leicht unkonventionelle Systemeingriffe vornehmen. Vergleichbar ist das mit einem Virus/Rootkit, das das Ausführen von bestimmten Programmen (z.B. avscan.exe, updaterGUI.exe) nicht erlaubt. Nur, dass du da eine Whitelist brauchst mit den MD5-Codes und nicht mit den Dateinamen, sonst kann ja jeder einen Virus GtaSpiderExplorer.exe oder sonstwie aus deiner Datenbank nennen. Genau das ist ja die Möglichkeit, wenn Anti-Malware-Tools dann z.B. nicht mehr mbam.exe sondern iexplore.exe heißen. Wenn das dann ein Virus wäre und der zugelassen würde... wie auch immer. Soviel dazu, das wäre in meinen Augen sicherer. Ob das funktioniert, weiß ich nicht :)

    LG
    olfibits

    neben AutoIt jetzt auch noch in C/C++, Java und Python aktiv :)
    Stand 04.04.2018, 13:34

  • sry, das wusste ich nicht.
    Welche Quersummen gehen sonsr noch? CRC?

    neben AutoIt jetzt auch noch in C/C++, Java und Python aktiv :)
    Stand 04.04.2018, 13:34