Forum: PC-Programmierung Code Signierung

KA von was du da sprichst, ABER ich bin mir ziemlich sicher, das in 
allen Verträgen nur was von "Kommerzieller-Nutzung" steht. Dein 
"Privatscheiß" interessiert da niemanden.
Ich bin aber auch ein Naivling, der ans Gute im Menschen glaubt.... :/

> Sagt wer?
Der (siehe Anhang).

Ja ... den Dialog kenne ich auch. Da geht's weiter, wenn man (völlig 
intuitiv) auf "Weitere Informationen" klickt.

@Holger:
Weiß ich.
Das will ich aber meinen Anwendern nicht zumuten.
Schlechte Usability.

Thomas_jhfd schrieb:
>> Sagt wer?
> Der (siehe Anhang).

Wenn du das Programm selbst geschrieben hast, wirst du doch selbst am 
besten wissen, ob es eine Gefahr für deinen PC darstellt. Deshalb steht 
da "u.U."

@Erwin: Ja, ICH weiß das.

Thomas_jhfd schrieb:
> Ja, ICH weiß das.

Es gibt nun mal nur die beiden Möglichkeiten: entweder du signierst 
deine Software oder du sagst deinen Kunden, sie müssten dir halt 
vorbehaltlos vertrauen. Oder du schreibst gleich dazu "Zum Betrieb der 
Software schalten sie bitte Defender oder andere Schutzsoftware ab".

Georg

Georg schrieb:
> Es gibt nun mal nur die beiden Möglichkeiten

In der Windows Welt.

Vorbehaltlos vertrauen müssen sie mir so oder so.
Mit Signatur können sie lediglich verifizieren, dass ich auch wirklich 
der Herausgeber bin.
Ich hätte kein Problem mit einem fetten Warnhinweis, dass der 
Herausgeber der SW nicht verifiziert werden kann, dennoch installierem? 
JA / NEIN

Aber so, wie auf dem Foto? Das kann man keinem anbieten.

Und dann soll so ein Zertifikat 100€ jedes Jahr kosten?!
Was tut denn der Anbieter für mich? Einmalig meine Identität prüfen...

Thomas_jhfd schrieb:
> Was tut denn der Anbieter für mich?

JEdes Jahr den Zahlungseingang prüfen.

Jim M. schrieb:
> Thomas_jhfd schrieb:
>> Das will ich aber meinen Anwendern nicht zumuten.
>> Schlechte Usability.
>
> Korrekt.
>
> Den Dialog kann man aber AFAIK umgehen, wenn man das Programm nicht als
> exe sondern als Zip Datei verpackt auf den Webserver stellt.

Vermutlich wird die Warnung dann beim Anwender kommen beim Auspacken des 
ZIP oder dann beim Starten des Programms.

Kontrolle ist Macht ist Geld. Apple hat mit seinem App Store volle 
Kontrolle darüber, wer was installieren kann. Android kommt dem auch 
schon relativ nahe. Aber bei MS installieren nur wenige über den 
Appstore. Ich könnte mir vorstellen, dass MS die gefährlich aussehende 
Warnung deshalb da platziert hat. Damit die Entwickler anfangen, den 
Code zu Signieren, oder noch besser, deren App Store zu verwenden. 
Irgendwann kann MS dann den unsignierten Code ganz abschalten, richtig 
kohle machen, und raus werfen, was ihnen gerade nicht in den kram passt.

Ich hätte kein Problem damit den Code zu signieren und meinen Anwendern 
so etwas mehr Sicherheit / Vertrauen zu geben.
Für ein Zertifikat würde ich sogar einmalig Geld ausgeben.
Aber ich kann mir doch als Hobbyentwickler keine laufenden Kosten von 
100€ pro Jahr dafür ans Bein binden.

Installer muss schon sein, weil neben Dateien kopieren auch noch Addins 
registriert werden. Das soll der Anwender nicht selbst machen müssen.

Bis jetzt gab es das Problem nicht, weil alle Anwender sich das selbst 
aus dem Code kompilieren mussten.
Den Installer habe ich schon lange vor mir hergeschoben, weil ich den 
Einarbeitungsaufwand dafür gescheut habe.

@Arc
Danke für deinen Beitrag.
Selbst signieren bringt nur, dass da nicht mehr "Unbekannter 
Herausgeber" steht. Der Dialog aus dem Foto oben kommt trotzdem, 
richtig?

Thomas_jhfd schrieb:
> Bis jetzt gab es das Problem nicht, weil alle Anwender sich das selbst
> aus dem Code kompilieren mussten.

Wenn es um Open-Source-Software geht, guck mal bei Certum, die bieten 
dafür günstigere Zertifikate an.

Ist kein Open Source, jedenfalls nicht nach den Richtlinien der FSF.
Zwar liegt der Code für alle sichtbar auf Github, Lizenz gibt es aber 
keine.
Ich habe lediglich per Copyright meine Urheberschaft vermerkt.

Ich frage mich aber schon wie kleine Open Source Projekte das handhaben.
De facto schließt MS Hobbyentwickler aus.

Thomas_jhfd schrieb:
> Ist kein Open Source, jedenfalls nicht nach den Richtlinien der FSF.

Lies doch bei Certum nach, was die genauen Bedingungen sind.

Ich glaube, beim Zertifikat ist der "Haken", dass als CN "Vorname 
Nachname (open source developer)" drinsteht.

Thomas_jhfd schrieb:
> Ich frage mich aber schon wie kleine Open Source Projekte das handhaben.

Genau wie viele kommerzielle Anbieter: Das Zertifikat weglassen.

Thomas_jhfd schrieb:
> De facto schließt MS Hobbyentwickler aus.

Wegen eines popeligen Warnbildschirms? Schwierig wird es erst, wenn Du 
Treiber entwickeln willst.

Für den SmartScreen-Warnhinweis ist eine digitale Signatur nur ein 
Faktor.
Selbst mit digitaler Signatur erscheint der Hinweis noch, solange die 
Software keine relevante Verbreitung hat (Ausnahme ist meine ich 
Code-Signing mit EV)

Achim M. schrieb:
> Ist aber unterm Strich genau so beknackt wie jeder andere
> Unixoid mit GUI-Paketverwaltung.

Wenn ich z.B. meinem Debian Linux sage, es soll mir ein manuell 
runtergeladenes .deb installieren, reklamiert es jedenfalls nicht. Und 
das ganz egal, ob ich es über dpkg, apt, synaptic, oder sonst was mache.

Auch wenn ich ein tar Archiv runterlade und entpacke, beschwert es sich 
nicht, wenn ich daraus nachher eine Datei ausführen will. Wenn ich z.B. 
ein python/shell/etc. script oder so anklicke, fragt es nur "mit 
Terminal ausführen", "Ausführen", "im Texteditor öffnen". Und wenn da ne 
.desktop Datei ist, bei der fragt es gar nicht.

Meldungen in die Richtung "Gefährlich, tues nicht, tues nicht!!!" gibt 
es dabei keine.

Und es ist nicht nur bei Debian so, auch bei einigen anderen Distros, 
die ich mal ausprobiert hatte, (z.B. Tiny Core Linux, SliTaz, etc.), war 
das nicht anders.

🐧 DPA 🐧 schrieb:
> Meldungen in die Richtung "Gefährlich, tues nicht, tues nicht!!!" gibt
> es dabei keine.

Liegt wahrscheinlich daran, das der gemeine Linux-User ungefähr weis was 
er tut. Windows hat ganz früher auch einfach alles ausgeführt (was halt 
in Verbindung mit der mangelnden Mehrbenutzerfähigkeit / Trennung 
Admin/User) zu der katastrophalen Unsicherheit geführt. Dann kamen die 
Frag nach Admin-Rechten-Dialoge. Offensichtlich haben da auch noch zu 
viele einfach draufgeklickt (geht mir unter Windows auch so, wenn eine 
Fehlermeldung kommt versucht man reflexartig die irgendwie wegzuklicken, 
egal wie, Hauptsache weg). Jetzt hat man es so gut versteckt, dass man 
erstmal googeln muss, da ist der DAU raus.

Karl schrieb:
> 🐧 DPA 🐧 schrieb:
>> Meldungen in die Richtung "Gefährlich, tues nicht, tues nicht!!!" gibt
>> es dabei keine.
>
> Liegt wahrscheinlich daran, das der gemeine Linux-User ungefähr weis was
> er tut. Windows hat ganz früher auch einfach alles ausgeführt (was halt
> in Verbindung mit der mangelnden Mehrbenutzerfähigkeit / Trennung
> Admin/User) zu der katastrophalen Unsicherheit geführt.

Naja, wenn man ein Script oder ein Programm runterlädt, also kein .deb 
oder .tar, muss man schon noch das Ausführbar Flag setzen, sonst öffnet 
es das im Texteditor oder fragt womit man das öffnen will. Damit sind 
die meisten derartigen Probleme dann erschlagen.

Sofern man beim Signieren einen Timestamp-Server genutzt hat, ist die 
Installation weiterhin möglich:
https://www.psw-group.de/support/was-ist-ein-time-stamp/

@Uwe:
Dein Ansatz ist der normale.
Kostet inkl. MwSt. 70€ pro Jahr (bei drei Jahres-Abo).

So lange du Updates raus bringst musst du auch Zahlen.
Timestamp Server hat bluppdidupp ja schon geschrieben.

Warum kann man seinen Code nicht einfach kostenlos mit dem digitalen 
Personalausweis signieren?

Ok, wusste ich nicht. Dachte das ist automatisch dabei.

Komisch... Ich erstelle seit ca. 5 Jahren privat kommerzielle Software. 
Die läuft bei meinen Kunden unter Windows 7 und 10 (jeweils aktuellster 
Stand). Dabei ist die oben gezeigte Meldung noch nie aufgetaucht. Die 
Software lässt sich ganz entspannt ohne weitere Nachfragen installieren. 
Und das ohne jegliche Form der Signierung.

Was ist bei euch anders?

PS: Ich baue die SW mit VS 2019 in C++ und .NET 4.8 für x64. Das Setup 
erstelle ich mit Advanced Installer.

Richy schrieb:
> Was ist bei euch anders?

Auf welchem Weg gelangt Deine Software zum Kunden?

Standardmässig passiert das wohl nur bei (per NTFS-ADS entsprechend 
gekennzeichneten) Internet-Downloads, unter Windows 7 sieht das dann aus 
wie angehängt.

Hmmm schrieb:
> Richy schrieb:
>> Was ist bei euch anders?
>
> Auf welchem Weg gelangt Deine Software zum Kunden?
>
> Standardmässig passiert das wohl nur bei (per NTFS-ADS entsprechend
> gekennzeichneten) Internet-Downloads, unter Windows 7 sieht das dann aus
> wie angehängt.

Ich lade die fertig gebauten Installer (.msi, nicht .exe!!!) auf meinen 
privaten GitTea-Server. Von da können es sich die Kunden herunterladen.
Der Server hat eine .de-Domain von Strato und ein SSL-Zertifikat von 
LetsEncrypt. Der Download geschieht also per HTTPS.

Richy schrieb:
> Ich lade die fertig gebauten Installer (.msi, nicht .exe!!!) auf meinen
> privaten GitTea-Server. Von da können es sich die Kunden herunterladen.
> Der Server hat eine .de-Domain von Strato und ein SSL-Zertifikat von
> LetsEncrypt. Der Download geschieht also per HTTPS.

SSL-Zertifikate und Download per HTTPS spielen hier keine Rolle. 
Codesignaturzertifikate sind nochmal etwas anderes.

Wir hatten mit unserer kommerziellen Software auch schon Spaß damit. Es 
gibt grundsätzlich zwei Stufen von Zertifikaten, OV (Organisation 
Validation) und EV (Extended Validation). Letzere sind nochmal teurer. 
Selbst die OV-Zertifikate genügen bei heruntergeladener Software nicht 
in allen Fällen, um Microsofts Warnmechanismen zu befriedigen. Microsoft 
unterhält eine Datenbank, in der Filehashes für Installer abgelegt sind, 
die als "sicher" betrachtet werden. Veröffentlicht man nun eine neue 
Version seiner Software - am besten auch noch "Nischensoftware" - ist 
der Hash erstmal nicht auf der Liste, und das Betriebssystem meldet 
"potentiell unsichere Software". Deine Software landet irgendwann auf 
der "Sicher-Liste", wenn nach einigen hundert Downloads durch Anwender 
quasi heuristisch festgelegt wurde, dass die Software schon ok sein 
wird. Wenn man den ersten paar Anwendern seiner (teuren) Software keine 
Sicherheitswarnungen zumuten möchte, gibt es keine andere Möglichkeit, 
als in ein EV-Zertifat zu investieren. EV-signierte Software hält 
Windows automatisch für sicher.

Es mag sein, dass für Downloadquellen wie github nochmal eigene Regeln 
gelten, da dass ja auch von Microsoft betrieben wird. Für Downloads von 
eigenen Servern gelten i.A. die obigen Regeln.

Hier noch Quellen für die Nachwelt zum Thema Windows SmartScreen 
(Warnmeldungen) + EV-Zertifikate

https://docs.microsoft.com/en-gb/archive/blogs/ie/microsoft-smartscreen-extended-validation-ev-code-signing-certificates

https://stackoverflow.com/questions/50956108/codesign-software-still-gives-a-warning-on-windows-10?noredirect=1&lq=1

Christian R. schrieb:
> Wir hatten auch mal überlegt, statt OV doch EV einzusetzen, aber das
> geht nur mit Hardware Token und ist daher quasi unbrauchbar für
> automatisierte Build Prozesse auf virtuellen Maschinen.

Wir haben tokenbasiertes EV mit automatisierten TeamCity-Builds im 
Betrieb. Funktioniert gut. Der Token wird über einen SEH-Dongleserver im 
Netzwerk freigegeben, und der jeweils aktive Buildagent "mounted" sich 
den Token dann lokal, für die Zeit des Builds. Danach wird er 
freigegeben, sodass der nächste Build auch auf einem anderen Agent 
laufen kann. Wenn man das Ding im Netzwerk hat, muss man natürlich 
schauen, dass den nur die Clients sehen, die ihn wirklich nutzen sollen 
dürfen.

Man muss auch nicht diese ollen UI-Tools nutzen, Token-Signierung geht 
auch via signtool.exe auf der Kommandozeile. Leider alles mies 
dokumentiert, und fummelig, bis es läuft. Seit dem aber stabil.

> Christian R. schrieb:
>Mit GlobalSign Code Signing OV und Timestamp signiert,
> hat aber auch bei unserem super Nischen-Setup noch zu keinem Smart
> Screen geführt...

Okay, interessant, wir hatten das mit jedem Patch - trotz OV-Signatur, 
DL von eigener Infrastruktur. Wahrscheinlich ca. 1000 Downloads je 
Release.

Uwe B. schrieb:
> Wie und wann genau wird diese Datenbank gefüttert?

https://en.wikipedia.org/wiki/Microsoft_SmartScreen

Kann man unter Windows Security - App & browser control deaktivieren.

Uwe B. schrieb:
> Ich hatte die - wohl naive - Vorstellung daß einfach nur die Herkunft
> und "Unversehrtheit" einer Software sichergestellt wird.

Dafür ist das Zertifikat da.

Aber dass eine Software von einem Autor stammt, sagt ja nichts darüber 
aus, ob er gute Absichten hat. SmartScreen hängt deshalb ein 
Reputationssystem dran, das allerdings lt. Wikipedia-Artikel an das 
Zertifikat gebunden ist, d.h. bei einer Verlängerung fängt man wieder 
bei 0 an.

Die Windows7 Warnung, gepostet von Hmmm im Beitrag #6581320 finde ich 
gut.
Das versteht jeder.
Die Windows10 Warnung geht gar nicht. Daran werden 2/3 aller Anwender 
scheitern.

Wertvolle Informationen hier, danke dafür!

Uwe B. schrieb:
> Verstehe ich das richtig daß dieses Smartscreending nur ins Spiel kommt
> wenn Programme oder Installer aus dem Netz geladen werden?
> Auf die Möglichkeit daß Kunden das Prog downloaden können kann ich zur
> Not  verzichten. Oder würde es helfen das Programm (oder eine
> Installationsdatei) per ZIP-Archiv zu verteilen.

Eine Software die von einem Netzlaufwerk gestartet wird ist generell 
erstmal als unsicher anzusehen, da das Betriebssystem externe 
Datenquellen nicht unter seiner Kontrolle hat und da potentiell beliebig 
rum-manipuliert werden könnte ohne das ein Client das mit bekommt. 
Netzlaufwerke/Freigaben kann man allerdings in eine sichere Zone packen 
(Windows-Startmenü-Suche: "Internet" > "Sicherheit")
Ansonsten gilt: Alle üblichen Browser markieren heruntergeladene Dateien 
per ADS, wodurch sie als potentiell weniger sicher erkannt werden:
https://www.borncity.com/blog/2018/09/22/infos-zu-windows-ntfs-alternative-data-streams/

SmartScreen greift nicht nur bei heruntergeladenen Dateien, von denen 
geht allerdings wohl vermutlich mit das höchste Risiko aus, deswegen 
schlägt es da vermutlich vermehrt zu.
Ich würde auch wetten, das SmartScreen sich z.B. anschaut welche APIs 
die jeweilige exe nutzt um dessen Risiko einzuschätzen und weitere 
Heuristiken nutzt.

Thomas_jhfd schrieb:
> Die Windows10 Warnung geht gar nicht. Daran werden 2/3 aller Anwender
> scheitern.
Ich würde wetten das sie das nicht ohne Absicht verschärft haben und das 
eher so gekommen ist, weil es einfach nötig ist. Da gilt vermutlich 
eher: Ziel erreicht.
Das legitime Software da auch drunter leidet ist praktisch 
Kollateralschaden.

Früher wurde ja immer viel gemeckert, das man sich bei Windows leicht 
alles mögliche einfangen kann. Ich würde allerdings wetten, das die 
meisten Windows-User sich die Malware sogar noch selbst installiert 
haben (und das auch heute noch tun)

bluppdidupp schrieb:
> Ich würde wetten das sie das nicht ohne Absicht verschärft haben und das
> eher so gekommen ist, weil es einfach nötig ist. Da gilt vermutlich
> eher: Ziel erreicht.
> Das legitime Software da auch drunter leidet ist praktisch
> Kollateralschaden.
>
> Früher wurde ja immer viel gemeckert, das man sich bei Windows leicht
> alles mögliche einfangen kann. Ich würde allerdings wetten, das die
> meisten Windows-User sich die Malware sogar noch selbst installiert
> haben (und das auch heute noch tun)

Ja, natürlich, ist ja auch sinnvoll. Man kann nicht gleichzeitig im 
Heise-Forum rumnölen, dass Softwarehersteller keinen Wert auf Sicherheit 
legen, aber gleichzeitig meckern, wenn Lösungen gefunden werden, die 
aber mal ein bisschen Geld kosten. Ich halte das auch für 
Hobby-Entwickler nicht für so problematisch. Anwender, die nischige 
Software einsetzen, wissen in der Regel einigermaßen, was sie tun, und 
sollten mit der SmartScreen-Warnung klarkommen. Bei OSS und 
Selbstkompiliertem stellt sich die Frage ohnehin nicht. Außerdem dürfte 
Software von Hobbyentwicklern nur einen winzigen Bruchteil des Marktes 
ausmachen.

Aus Entwicklersicht würde ich mir aber mal wünschen, dass das ganze 
Geraffel ein bisschen besser dokumentiert ist, auch mit Best Practices, 
für wiederkehrende Szenarien wie CI-Builds, etc. Das mussten wir leider 
schmerzhaft lernen. Die Arbeitszeit davon wird ein vielfaches von den 
1500 EUR für das DigiCert-EV gekostet haben. :D

> Wie und wann genau wird diese Datenbank gefüttert? Wieso Download? von wo?
> Wer (oder was) telefoniert da?

Das musst du, im Detail, Microsoft fragen, aber:

"Microsoft Defender SmartScreen determines whether a downloaded app or 
app installer is potentially malicious by:

Checking downloaded files against a list of reported malicious software 
sites and programs known to be unsafe. If it finds a match, Microsoft 
Defender SmartScreen shows a warning to let the user know that the site 
might be malicious.

Checking downloaded files against a list of files that are well known 
and downloaded by many Windows users. If the file isn't on that list, 
Microsoft Defender SmartScreen shows a warning, advising caution."

Aus dem Netz heruntergeladene Dateien sind über ein spezielles 
Dateisystemattribut markiert, sodass Windows Defender/SmartScreen sie 
erkennen können. Ob dieser Check jetzt online oder offline (man könnte 
die "list of files that are well known"-Datenbank ja auch via Windows 
Update aktualisieren - glaube ich aber nicht so recht..) stattfindet, 
geht aus dem o.g. Zitat nicht hervor. Wahrscheinlich gibt es da einfach 
eine API-Anfrage, wenn so eine Datei erkannt wird. Dann gibt es mehrere 
Fälle:

(1) Hash in der Datenbank bekannt, nicht als bedrohlich eingestuft -> 
keine Meldung
(2) Hash in der Datenbank bekannt, als bedrohlich eingestuft -> Meldung
(3) Hash nicht bekannt -> es gibt erstmal eine Meldung, Hash wird aber 
gemerkt. Dann greifen vermutlich verschiedene Heuristiken (Anzahl 
Downloads, Analyse, was das Binary so aufruft, etc), und irgendwann 
rutscht der Hash dann in die Datenbank "nicht als bedrohlich 
eingestuft". Dann weiter bei (1).

Man kann da nur spekulieren, meines Wissens nach ist das nicht in die 
Tiefe dokumentiert. Das kann durchaus auch Absicht durch Microsoft sein, 
damit man die Heuristiken nicht zu einfach umschiffen kann, sollte man 
böses im Schilde führen.

Matthias schrieb:
> Bei OSS ... stellt sich die Frage ohnehin nicht.
Warum nicht?

Matthias schrieb:
> Außerdem dürfte Software von Hobbyentwicklern nur einen winzigen Bruchteil
> des Marktes ausmachen.
Auch Hobbyentwickler wollen geile SW mit guter Usability ausliefern.
Ich habe gerade mal geschaut:
* Notepad++: Ist signiert mit https://www.digicert.com
* 7ZIP: Ist nicht signiert, funktioniert dennoch. Warum?

bluppdidupp schrieb:
> Ich würde allerdings wetten, das die meisten Windows-User sich die Malware
> sogar noch selbst installiert haben (und das auch heute noch tun)
Da werde ich nicht gegen wetten... ;)

Thomas_jhfd schrieb:
> 7ZIP: Ist nicht signiert, funktioniert dennoch. Warum?

Lässt sich doch alles nachlesen.

"Reputation is generated and assigned to digital certificates as well as 
specific
files. Digital certificates allow data to be aggregated and assigned to 
a single certificate rather than many individual programs."

Quelle: 
https://docs.microsoft.com/en-us/archive/blogs/ie/microsoft-smartscreen-extended-validation-ev-code-signing-certificates