useruw
Goto Top

Webseite signieren

Gelegentlich möchte man auf einer Webseite kritische Daten veröffentlichen, zum Beispiel Checksummen von Dateien/Programmen oder den Fingerprint eines Schlüssels.

Frage: Wie kann man diese Information absichern? Ich stelle mir eine Signatur für diese Daten vor und eine bequeme Möglichkeit, diese Signatur zu überprüfen. Gibt es so etwas? Wie machen das andere? (Man könnte zusätzlich ein signiertes PDF anbieten, das dieselbe Information enthält. Eine Lösung, die ohne einen solchen Medienbruch auskommt, fände ich eleganter.)

Content-ID: 1288314484

Url: https://administrator.de/forum/webseite-signieren-1288314484.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

wiesi200
wiesi200 21.09.2021 aktualisiert um 15:08:07 Uhr
Goto Top
Hallo,

die Webseite per https ausliefern was eh "State of the Art" für alle Webseiten ist?
Tezzla
Tezzla 21.09.2021 um 15:13:38 Uhr
Goto Top
Zitat von @wiesi200:

Hallo,

die Webseite per https ausliefern was eh "State of the Art" für alle Webseiten ist?

Und den Download nicht mit der Website auf einem Space liegen lassen.
UserUW
UserUW 21.09.2021 um 16:49:19 Uhr
Goto Top
Danke - aber:

1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.

2. Download: Du meinst den Softwaredownload: Klar liegt der woanders. Aber auch das allein entfaltet keine Schutzwirkung, erschwert allenfalls.
maretz
maretz 21.09.2021 um 16:53:24 Uhr
Goto Top
Zitat von @UserUW:

Danke - aber:

1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.

Dann hast du ein Problem damit das jemand anders Zugriff auf deinen Server hat und somit ganz andere Probleme. Denn wie soll ich sonst die Checksumme manipulieren wenn ich nich irgendwie auf deinen Server komme....


2. Download: Du meinst den Softwaredownload: Klar liegt der woanders. Aber auch das allein entfaltet keine Schutzwirkung, erschwert allenfalls.

Ist auch Sinnlos das zu erschweren. Die Checksumme allein hilft mir ja normal nicht als Angreifer. Und hier solltest du die sogar so einfach wie möglich zugänglich machen (-> was wieder https mit nem gültigen Zertifikat ist) da man dann ggf. eben die Schlüssel auch automatisch vergleichen kann...

Generell gehören auf öffentliche Seiten natürlich NUR die öffentlichen Schlüssel... Und da is es ganz einfach: Ich kann hier auch meinen public-ssh-key posten, der is ja genau dafür da... Wenn den jemand auf deinen Server legt ok - ich kann mich anmelden. Mein privater SSH-Teil bleibt ja trotzdem bei mir...

Von daher würde ich halt überlegen was du wirklich willst. Wenn es nur Checksummen sind für irgendwelche Dateien -> dann reicht https völlig aus...
Tezzla
Tezzla 21.09.2021 um 16:54:55 Uhr
Goto Top
Du müsstest ja dann die Page, die die Checksum des Downloads enthält, auch nochmal signieren / per Checksum sichern. Und das wiederum irgendwo darstellen.

Die einzige Möglichkeit ist diese Infos in ein signiertes PDF zu speichern und das zur Kontrolle einzubetten oder zum Download anzubieten.
wiesi200
wiesi200 21.09.2021 um 17:00:53 Uhr
Goto Top
Https schütz auch vor Manipulation auf dem Transporte und DNS Manipulation.

Wenn ein Fremder allerdings auf deinem Webspace hockt kannst du machen was du lustig bist und wird nicht helfen.
StefanKittel
StefanKittel 21.09.2021 aktualisiert um 18:25:51 Uhr
Goto Top
Zitat von @UserUW:
1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
Wenn Jemand die Möglichkeit hat die Seite zu ändern bist Du am Ende.
Derjenige kann den Inhalt einfach vollständig ändern.
z.B. den Text in "Mit dem PDF machen wir das nicht mehr und hier die Prüfsummen in Klartext" mit den "neuen" Prüfsummen und Downloadlinks zu den "neuen" Dateien.

Mal ein paar Idee ohne lange Planung

-Grünes EV-Zertifikat
-Inhalt der Webseite nur statisches HTML, kein CMS-
-Zugriff nut per SFTP (SSH) und kein FTP
-Dein PC lädt stündlich die Webseite als HTML-Datei runter und vergleich die Prüfumme mit einer Datei auf Deinem PC.Dann fällt eine Manipulation sofort auf.
Dani
Dani 21.09.2021 um 19:31:58 Uhr
Goto Top
Moin,
aus meiner Sicht bleibt nur der Weg die Dateien in Form von Word, Excel, Powerpoint entsprechend zu signieren. Sobald jemand die Datei verändert, ist die Signatur ungültig. Das Gleiche ist für Anwendungen möglich. Beides setzt entsprechende Zertifikate und ggf. Anwendungen für die Signierung voraus.

Https schütz auch vor Manipulation auf dem Transporte und DNS Manipulation.
In diesem Fall sind Techniken wie HSTS, DNSSEC und TLSA unablässlich.


Gruß,
Dani
aqui
aqui 21.09.2021 aktualisiert um 20:33:45 Uhr
Goto Top
Üblich sind ja auch MD5 oder SHA1 File Hashes zu diesen Daten zu veröffentlichen. Die Hashes sind nicht manipulierbar bzw. zeigen sofort auch die kleinste Manipulation der Ursprungsdaten.
Windows macht das mit Bordmitteln:
https://support.microsoft.com/en-us/topic/d92a713f-d793-7bd8-b0a4-4db811 ...
oder einem der unzähligen freien Tools:
https://www.nirsoft.net/utils/hash_my_files.html
Apple Mac und Linux ebenso:
https://www.bastianoso.de/tipps-tricks/macos/md5-sha1-sha256-checksum-ue ...
UserUW
UserUW 23.09.2021 aktualisiert um 16:40:44 Uhr
Goto Top
Die einzige Möglichkeit ist diese Infos in ein signiertes PDF zu speichern und das zur Kontrolle einzubetten oder zum Download anzubieten.

Ja, daran hatte ich auch gedacht, die Datei kann bei einer Manipulation der Seite aber natürlich auch entfernt werden! Ich hoffte noch auf smoothere Anregungen! Es bleibt also nur, die zu schützende Datei selbst zu signieren. Bei Programmen (und DLLs...) dürfte es inzwischen klar sein, dass die signiert sein sollten und unsignierte Programme nicht installiert werden.

Ulrich
maretz
maretz 23.09.2021 um 17:34:52 Uhr
Goto Top
Die Frage ist doch - was willst du schützen? Wenn du davor angst hast das jemand der Zugriff auf dein Server hat da dummheiten macht -> das wirst du nicht verhindern können.... Lege die summen in ner signierten PDF ab - so what? Dann muss man halt ne self-signed PDF mit veränderten Schlüsseln erstellen und hochladen (wer liest denn nu wirklich woher der Schlüssel kommt). Nur: Je komplexer du den Vorgang gestaltest - umso weniger wird es jemand wirklich prüfen...

Von daher würde ich eben wenn das ganze als Text-Datei machen in der die Checksum's stehen. Diese kannst du z.B. in deinem Programm ja auch auswerten. Und in deinem Programm packst halt in den Sourcecode die Checksum der File rein, dann kannst du relativ sicher sein das es eben auch keine veränderte Datei ist... Jetzt musst du dann nur noch sicherstellen das eben nicht grad deine "Installer"/"Update"-Datei auf demselben Server liegt...