Malware mit Ihrer digitalen Signatur? Mit EV CS nie wieder

18.12.2015 | Petra Alm

Ein von 14 von dem Internet heruntergeladenen Programmen ist eine Malware. Eine Signatur Ihrer Applikation kann dem Benutzer nicht gewährleisten, dass das geöffnete Programm nicht schädlich ist. Die digital signierte Malware existiert und ihre Anzahl erhöht sich von Jahr zu Jahr. Sie wird mit gestohlenen CS-Zertifikaten signiert, weil sie einfach zu erwerben sind. Wie können Sie diese schwerwiegenden Sicherheitsprobleme lösen, um den Missbrauch Ihres Zertifikats nicht riskieren zu müssen?

Bedeutung der digitalen Signatur von Applikationen

Die Signatur der Applikation mit einem Code Signing Zertifikat bürgt für ihre Herkunft, Unabänderlichkeit und Identität des Herausgebers. Der Zeitstempel sorgt dafür, dass die Signatur auch nach dem Ablauf des Zertifikats gültig bleibt. Der Vorteil der digitalen Signatur liegt also in der Garantie der Herkunft, Identität des Herausgebers und des unveränderten Zustandes seit dem Moment der Ausstellung. Das Signieren von Applikationen stellt heute einen Standard dar und in E-Shops mit Applikationen für Smartphones wird die Signatur sogar gefordert.

Vergleich der signierten und nicht signierten Applikation in Windows

Vergleich der nicht signierten und signierten Applikation in Windows

Bisher haben wir uns nur mit Vorteilen befasst, schauen wir uns nun auch die zweite Seite von der Problematik des Signierens an. Wissen Sie, dass auch die auf dem Internet verbreitete Malware oft über eine gültige digitale Signatur verfügt? Die digitale Signatur kann nämlich jeder verwenden. Die Signatur der Applikation kann also ihre Vertrauenswürdigkeit nicht automatisch gewährleisten und es muss immer darauf geachtet werden, ob es sich nicht um einen Virus handelt. Außer Antivirenprogrammen führt diese Kontrolle auch das Windows-System durch, das die Applikationen begutachtet und wertet aus, ob sie der Benutzer ohne ein Risiko öffnen kann.

Wussten Sie, dass Windows die Vertrauenswürdigkeit der signierten Applikation mit eigenen Kriterien bewertet und deshalb oft auch die digital signierten Applikationen blockiert werden?

Windows und SmartScreen Filter

Das Windows-System kann die nicht vertrauenswürdigen Applikationen im Internet Explorer 7 und in neueren Versionen mithilfe des Smartscreen Filters blockieren, der jede heruntergeladene Applikation nach ihrer Reputation bewertet. Ab Windows 8 ist der Filter nicht nur ein Teil von Internet Explorer, sondern funktioniert auch in dem ganzen System. Es handelt sich um ein nutzvolles Tool, das bereits 1,5 Milliarden von Malware-Angriffen blockiert hat, aber das sich auch gegen Sie einfach wenden kann.

Auch signierte Applikationen werden von Smartscreen blockiert, falls sie nicht eine genügende Reputation haben.

SmartScreen blockiert auch signierte Applikationen, falls sie für ihn nicht genug vertrauenswürdig sind. Der Benutzer vertraut der Meldung des SmartScreen Filters berechtigt, denn 70 Meldungen sind begründet. Sind sie sicher, dass der Benutzer ihre Applikation öffnen wird, wenn sie SmartScreen blockiert? Mit Recht kann er denken, dass es sich um eine Malware handelt.

Wie kann das Zertifikat vor Missbrauch abgesichert werden?

Die Malware kann schlaue Wege finden, um in die Computer der Opfer einzudringen. Angreifer missbrauchen Sicherheitslücken der Hersteller und signieren die Malware mit gestohlenen Zertifikaten. Solche Fälle stellen eine Katastrophe nicht nur für die Opfer dar, sondern auch für den kompromittierten Inhaber des Zertifikats. Sein guter Name wird für immer beschädigt. Schützen Sie Ihren Ruf und Ihre Applikation!

Beim Signieren der Applikation mit einem üblichen Code Signing Zertifikat verwenden Sie die Datei PFX, die sowohl Ihr Zertifikat als auch den privaten Schlüssel enthält. Die Datei wird zwar mit einem Passwort geschützt, aber dieses kann durchbrochen werden – es hängt nur von den Fähigkeiten des Angreifers ab, wie schnell er es ausspähen wird. Wie können Sie den Diebstahl und Missbrauch des Zertifikats verhindern, die für Ihren Namen schwerwiegende Folgen hätten?

Gefahr des Blockierens von der Applikation und Ihrer Kompromittierung löst die EV-Signatur

Wie können Sie Ihre Applikation absichern, sicherstellen, dass sie von Windows nicht blockiert wird und die Kompromittierung Ihres Zertifikats und Rufes verhindern? Die Antwort auf diese Fragen heißt das EV Code Signing Zertifikat, das eine Neuheit im Bereich des Signierens von Applikationen und der Software-Entwicklung darstellt. Das Zertifikat löst alle erwähnten Risiken.

Ihre Applikation wird nicht blockiert

Die bekannte grüne Adressleiste gibt es nun auch bei den Code Signing Zertifikaten. Ihr Hauptvorteil besteht in der augenblicklichen Reputation der signierten Applikation in dem Smartscreen Filter. Windows wird die von Ihnen signierte Applikation nicht blockieren, weil sie maximal vertrauenswürdig wird. Sie brauchen nicht mehr zu fürchten, dass Ihre neu entwickelte Applikation von dem Windows-System aus dem Grund blockiert wäre, dass sie das System nicht erkennt.

Höhere Sicherheit der Verwendung und Schutz vor Diebstahl

Der zweite Vorteil des EV Code Signing Zertifikats liegt in der höheren Sicherheit seiner Verwendung. Das Zertifikat für die EV-Signatur des Codes ist auf einem Hardware-Token gespeichert und für seine Verwendung (Signieren der Applikation) müssen Sie seine PIN-Nummer kennen. Das Zertifikat könnte ein Angreifer auch nach dem Diebstahl von dem Token nicht missbrauchen, weil er das Passwort nicht kennt und nach mehreren Versuchen es zu durchbrechen wird das Token blockiert.

Das HW Token erhalten Sie von der CA per einen Kurier; dann können Sie darauf das CS EV-Zertifikat herunterladen und es fürs Signieren verwenden.

Das  Code Signing EV Zertifikat kann praktisch nicht missbraucht werden. Auch nach seinem physischen Diebstahl könnte es der Dieb nicht verwenden, weil er das Passwort für das Token nicht durchbrechen würde. Vergleichen Sie diese Weise des Speicherns mit dem üblichen Signieren durch eine PFX-Datei, die in dem Computer gespeichert ist und die von dem Rechner oder von der E-Mail des Inhabers entwendet werden kann und somit das Signieren von einer Malware ermöglicht.

Das Token wird Ihnen direkt von der Zertifizierungsstelle per einen Kurier zu gesendet. Im Moment der Zustellung enthält es jedoch weder den privaten Schlüssel noch das Zertifikat. Seine „Aktivierung“ und Speichern des Zertifikats erfolgt erst auf Ihrem Computer.

Ein Screenshot der Applikation, die zusammen mit dem Token verwendet wird.

Ein Screenshot der Applikation, die zusammen mit dem Token verwendet wird.

Wie können Sie das EV Code Signing Zertifikat erwerben?

Bei SSLmarket.de können Sie das EV Code Signing Zertifikat viel günstiger als direkt bei Symantec erhalten. Wir helfen Ihnen auch damit, das Zertifikat möglichst schnell zu erwerben, es zu aktivieren und verwenden. Das Zertifikat können Sie auf unserem Web bestellen; die Dauer des Prozesses schätzen wir momentan auf 10 und mehrere Tage ein. Nach der Validierung Ihres Unternehmens und der Kontaktperson für Autorisierung wird das Token aus den USA per einen Kurierdienst abgesendet, aktiviert kann es aber erst von dem Inhaber werden.

Beraten Sie sich mit uns, wie Sie die Sicherheit Ihrer Applikationen und des Speicherns des Zertifikats erhöhen können

SSLmarket verfügt mit dem Signieren von Applikationen über reiche Erfahrungen, die er dank vielen ausgestellten Code Signing Zertifikaten seiner Kunden gesammelt hat.

Wir beraten Sie gerne auch mit der Sicherheit des Signierens von Applikationen und zusammenhängenden Aspekten. Kontaktieren Sie bitte unseren Kundenservice und fragen Sie, welche Vorteile Ihnen das Signieren mit einem EV CS-Zertifikat bringen kann.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de