Source Code Signieren

[Bluedaishi]

Hallo hat schon mal jemand seinen Quellcode
Signiert mit einem Hash wert ????

 

[sascha-sphw]

Mit einem Zertifikat eine Exe, ja. Falls Dir das Hilft.

 

[kneitzel]

Was genau willst du machen?

‚Code Signing’ betrifft nicht den Source sondern das Binary. Dadurch wird dann sicher gestellt, dass die Software von Dir kommt.

 

[Bluedaishi]

Ich musste ein Gutachten erstellen lassen worin alle java Dateien mit einem MD5 hash wert versehen wurden . Zusätzlich die fertige exe Datei .... der Grund wenn die Java Dateien verändert werden stimmt der hash wert nicht mehr was klar ist .. nun dachte ich kann das in meiner neuen Version gleich automatisch einbinden

 

[Bluedaishi]

So sieht das im Gutachten aus

 

[kneitzel]

MD5 Hash ist aber keine Signatur. Aber die MD5 Hashes sind ja problemlos berechenbar. Siehe z.B. https://www.geeksforgeeks.org/md5-hash-in-java/

 

[Bluedaishi]

Ok das heißt ich müsste jede Java Datei vor Programm Start da durch jagen ???

 

[kneitzel]

Warum sollen die Sourcen immer geprüft werden? Auf die wird ja nicht mehr zugegriffen .. die Dateien, die ausgeführt werden sollen, die müssen geprüft werden.

Die Sourcen müssten nur geprüft werden, wenn sie Verwendet werden sollen....

 

[Bluedaishi]

Ja die haben Angst das die Java Dateien im Nachhinein geändert werden könnten

 

[Bluedaishi]

Würde das vor dem Programm Start machbar sein ???

 

[Bluedaishi]

Warum sollen die Sourcen immer geprüft werden? Auf die wird ja nicht mehr zugegriffen .. die Dateien, die ausgeführt werden sollen, die müssen geprüft werden.

Die Sourcen müssten nur geprüft werden, wenn sie Verwendet werden sollen....

Das heißt die fertige ausführbare Anwendung müsste sich selbst prüfen . Sehe ich das richtig

 

[kneitzel]

Also die Source Dateien anzupassen würde die Applikation nicht verändern. Aber man kann das ja mit in einpacken. Die Dateien könnten Teil des jar Files sein. Dann bleibt es bei einem selbst prüfen.

Wenn man statt md5 eine echte Signatur nehmen würde, dann wäre die Prüfung ggf vom System selbst gemacht aber benötigt ein Code Signing Zertifikat.

Aber auch ohne das kann sich beim Start eine jar Datei selbst prüfen, aber das bringt wenig, denn wenn ich die jar angreife, dann kann ich ja auch neue md5 Summen hinterlegen.... daher halte ich das mit den md5 Dateien für nicht wirklich zielführende.

Wenn die Applikation unter Windows läuft, dann könnte es ein Ziel sein, eine signierte exe zu haben... Aber das erfordert dann auch gewisse Dinge. Das Zertifikat muss sicher verwahrt werden. Das liegt dann sozusagen bei der Geschäftsführung im Safe. Und da hat dann auch nur eine sehr kleine Gruppe Zugriff drauf...

Bei großen Unternehmen gibt es ggf eine PKI Infrastruktur und die können ggf. ein Code Signing Zertifikat ausstellen - so die Applikation intern genutzt wird und das Root Zertifikat bekannt ist...

 

[kneitzel]

Da ich es noch nie mit Java gemacht habe, habe ich mal geschaut: Jar Files können signiert werden. Dazu ist wohl das Programm jarsigner da.

Im Programm selbst sollte dann eine Prüfung statt finden, die prüft ob alle Elemente signiert sind, die wichtig sind. Da findet sich z.B. unter

How to verify a jar signed with jarsigner programmatically

I'm wanting to sign a jar using jarsigner, then verify it using a Java application which does not have the signed jar as part of it's classpath (i.e. just using a filesystem location of the jar) N...

stackoverflow.com

nützliche Codeteile und Informationen

 

[Bluedaishi]

Super danke schön ich hoffe ich komme damit klar

 

[mihe7]

Da ich es noch nie mit Java gemacht habe, habe ich mal geschaut: Jar Files können signiert werden. Dazu ist wohl das Programm jarsigner da.

Für mich mal an der Zeit, das auszuprobieren Ich "logge" hier mal mit.

Erstmal Self-Signed-Certificate ausstellen und im neuen Keystore ablegen:

keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360 -keysize 2048

Für das Zertifikat vergebe ich mal kein Passwort, dann mal ein beliebiges Jar (bzw. die Kopie davon...) signieren:

jarsigner -keystore keystore.jks -storepass password jpa.war selfsigned

OK, gibt Warnungen, da kein Timestamp-Server bzw. -Zertifikat angegeben wurde. Erstmal egal. Überprüfen:

jarsigner -keystore keystore.jks -storepass password -verify jpa.war

liefert

jar verified.

Warning: 
This jar contains signatures that does not include a timestamp. Without a timestamp, users may not be able to validate this jar after the signer certificate's expiration date (2021-05-31) or after any future revocation date.

Re-run with the -verbose and -certs options for more details

Schön. Jetzt mal eine Datei im Jar aktualisieren (WEB-INF/beans.xml habe ich zuvor angelegt):

jar uf jpa.war WEB-INF/beans.xml

Und nochmal prüfen

jarsigner -keystore keystore.jks -storepass password -verify jpa.war

spuckt

jarsigner: java.lang.SecurityException: SHA-256 digest error for WEB-INF/beans.xml

aus.

OK, die Warnungen stören noch, also nochmal mit TSA probieren:

jarsigner -keystore keystore.jks -storepass password -tsa https://www.freetsa.org/tsr jpa.war selfsigned

und schon sind auch die Warnungen weg.

Wenn man eine Datei nicht verändert, sondern dem Jar hinzufügt, gibt es eine Warnung:

jar verified.

Warning: 
This jar contains unsigned entries which have not been integrity-checked. 

Re-run with the -verbose and -certs options for more details.

Mit -verbose erhält man dann die komplette Dateiliste mit Flags, anhand derer man erkennt, ob eine Datei signiert wurde.

Fazit: einfache Angelegenheit.

 

[Bluedaishi]

Guten Morgen werd das dann mal probieren .... also kann es sein das ich mich nochmal zurück melde

 

[Thallius]

MD5 Hash ist aber keine Signatur. Aber die MD5 Hashes sind ja problemlos berechenbar. Siehe z.B. https://www.geeksforgeeks.org/md5-hash-in-java/

meinst du jetzt wirklich jemand ist so dämlich und hashed ohne einen Salt?

 

[mihe7]

meinst du jetzt wirklich jemand ist so dämlich und hashed ohne einen Salt?

Ich glaube, @JustNobody meinte, dass es kein Problem ist, eine MD5-Prüfsumme zu erzeugen

 

[mrBrown]

meinst du jetzt wirklich jemand ist so dämlich und hashed ohne einen Salt?

Meinst du wirklich jemand ist so dämlich und kennt nicht die Unterschiede zwischen Passwörter hashen und Prüfsummen von Dateien zu erstellen?

 

[Bluedaishi]

Hey Leute nun lasst mal die Kirche im Dorf 😃

 

[mihe7]

Hey Leute nun lasst mal die Kirche im Dorf 😃

Das ist eine fachliche Diskussion mit Unterhaltungswert

 

[Bluedaishi]

Alles klar 😂😂

 

[Bluedaishi]

Also falls es nicht hinbekomme melde ich mich noch mal ... also hat bitte einer das Thema noch auf dem Schirm