16.10.2020, 20:49
(16.10.2020, 19:35)Mareta Dagostino schrieb: Im Prinzip ist das richtig. Aber wenn wir über staatliche Stellen reden und über gewöhnliche Computerbenutzer (keine IT-Profis), bleibt das folgende Szenario: Ein Geheimdienst XYZ signiert irgendwas mit dem Namen Microsoft bzw. was auch immer für eine Firma vorgetäuscht werden soll. Dafür benutzt er einen rootlevel Signaturserver, den er unter Kontrolle hat, und der von gewöhnlichen Browsern und PCs als vertrauenswürdige Signaturstelle angesehen wird. Dann sieht die Signatur auf den ersten Blick echt aus, man muss schon die einzelnen Zertifikate nachverfolgen und sich dann ggf. fragen, warum eine z.B. amerikanische Firma gerade für dieses Update eine russische/chinesische/deutsche Root-Zertificat-Authority (CA) einsetzen sollte.
EDIT: Windows-10-Treiber zum Beispiel kriegt man ohne gültige Signatur nicht installiert, außer man schaltet den Rechner bewusst in einen (unsicheren) Entwicklermodus. Das Verfahren könnte auf gewöhnliche Software ausgeweitet werden, wird es auch im Hochsicherheitsbereich, aber gewöhnliche Rechner wären dann zu stark eingeschränkt. Deshalb darf der lokale Admin außerhalb der Kernel-Schicht alles installieren, was er oder sie will. (Microsoft installiert sowas allerdings nicht automatisch, siehe Link in Kubwas Beitrag). Das gleiche gibt es bei manchen kommerziellen Linux-Distributionen. Bei selbstgebauter Software geht das zwar technisch auch, aber wie sollen die Empfänger dann mit vertretbarem Aufwand die Echtheit der diversen Zertifikate prüfen?
Das Angriffszenario ist übrigens, dem Computer ein falsches Zertifikat unterzujubeln. Eine Software so zu manipulieren, dass die Signatur zum Original-Zertifikat passt, ist meines Wissens nicht möglich.
Was hindert den Geheimdienst denn einen Entwickler bei Linux einzuschleusen oder einen Linuxentwickler zu erpressen und dazu zu bringen Backdoors einzubauen oder Schadcode zu signieren?
Der Argumentation folgend bleibt nichts anderes übrig als den PC aus dem Fenster zu schmeißen.