ComputerBase Menü
Aktuelles

Digitale Signatur vs. Prüfsumme / "Zuverlässigkeitsbasierter Schutz"

E

EuleMM

Cadet 4th Year
Registriert
Juni 2021
Beiträge
65
Hallo,

wenn ich es richtig verstehe, ist es so:

a) Softwarefirmen signieren ihre Installationsdateien (siehe Rechtsklick -> Eigenschaften -> Digitale Signaturen
b) Andernorts findet man auch Prüfsummen, z.B. hier bei diesem Freewareentwickler https://personal-backup.rathlev-home.de/ -> Download.
c) manche Software (Gitub?) haben oft gar keine Sicherheitsvorkehrungen (hab mich grad gefragt, warum das nicht automatisch im Downloadbereich erzeugt wird).

Ist es richtig, dass es für kleinere Entwickler (gerade auch im Ausland; und durchaus auch, wenn damit Geld verdient wird) nicht unüblich ist, dass eine digitale Signatur fehlt? D.h. ist das legitim?

Ist es dann aber sinnvoll/vertrauensfördernd, wenn stattdessen eine Prüfsumme auf der Website angegeben wird? (Laienfrage: Müsste die nicht optimalerweise auch noch andernorts angegeben werden, weil ja Software und Prüfsumme oft auf demselben Server liegen)?

Microsofts "Zuverlässigkeitsbasierter Schutz" (->insbes. "Apps und Dateien überprüfen") (und bei Edge auch noch andere "Maßnahmen") "verhindern" oder "stören" ja die Installation / den Download; vermutlich auf Basis von Community-Daten/Wahrscheinlichkeiten, und/oder fehlenden Signaturen (?). D.h. auch mit Prüfsumme wird so eine Installation verhindert, und die Warnungen geben keinen Aufschluss darüber (für den Durchschnitssuser), wie man eine Installation hinkriegt (Lösung: "Apps und Dateien überprüfen" temporär deaktivieren in "Zuverlässigkeitsbasierter Schutz".)

Habe ich das so im Großen und Ganzen richtig verstanden?
 
Zuletzt bearbeitet:
EuleMM schrieb:
Ist es richtig, dass es für kleinere Entwickler (gerade auch im Ausland; und durchaus auch, wenn damit Geld verdient wird) nicht unüblich ist, dass eine digitale Signatur fehlt?
Zum Vergrößern anklicken....
Nein, nicht unüblich, spart halt Geld.
EuleMM schrieb:
D.h. ist das legitim?
Zum Vergrößern anklicken....
Es gibt keine Gesetze, die SW-Entwickler dazu zwingen, eine Prüfsumme ihrer Daten zu erstellen.
EuleMM schrieb:
Ist es dann aber sinnvoll/vertrauensfördernt, wenn stattdessen eine Prüfsumme auf der Website angegeben wird?
Zum Vergrößern anklicken....
Man läd die SW, bildet lokal die Prüfsumme über den Download und vergleicht die Summe mit der angegebenen. Dann weiß man, dass die Daten vor Ort die sind, die der Entwicler auch meint. Was soll daran nicht vertrauensfördern sein? Diese Prüfsummen sind nicht vergleichbar mit Schlüsselpaaren öffentlich/privat, für die geschützte/geheime Übermittlung zwischen 2 Parteien.
EuleMM schrieb:
Lösung: "Apps und Dateien überprüfen" temporär deaktivieren in "Zuverlässigkeitsbasierter Schutz"
Zum Vergrößern anklicken....
Lösung: Nicht mit Edge downloaden. Nicht in das Windows Download Verzeichnis downloaden. Klappt bei mir mit FF und Chrome hervorragend.
 
  • Gefällt mir
Reaktionen: EuleMM und nutrix
EuleMM schrieb:
Ist es dann aber sinnvoll/vertrauensfördernt, wenn stattdessen eine Prüfsumme auf der Website angegeben wird? (Laienfrage: Müsste die nicht optimalerweise auch noch andernorts angegeben werden, weil ja Software und Prüfsummer oft auf demselben Server liegen)?
Zum Vergrößern anklicken....
Die Prüfsumme erfüllt den Zweck der Datenkonsistenz beim Download, mehr nicht.

Du lädst eine Datei runter, und prüfst dann mit der Prüfsumme, ob sie genau so heruntergeladen wurde und keine Bitkipper oder Übertragungsfehler aufgetreten sind. Genau diese können üble Seiteneffekte erzeugen, daß beispielsweise die Installation nur kleine, aber fatale Fehler erzeugt, die man sich nicht erklären kann usw.
EuleMM schrieb:
D.h. auch mit Prüfsumme wird so eine Installation verhindert, und die Warnungen geben keinen Aufschluss darüber (für den Durchschnitssuser), wie man eine Installation hinkriegt
Zum Vergrößern anklicken....
Nein, das eine hat mit dem anderen nichts zu tun. Prüfsumme sagt nur, Datei ist ok. Installation ist ein anderes Thema.
EuleMM schrieb:
(Lösung: "Apps und Dateien überprüfen" temporär deaktivieren in "Zuverlässigkeitsbasierter Schutz".)
Zum Vergrößern anklicken....
Das ist Quatsch und sollte man lassen. Man lädt sich die Dateien einfach in ein anderes Verzeichnis und fertig.
 
  • Gefällt mir
Reaktionen: EuleMM
Hallo, danke für die Antworten.

Einiges des Empfohlenen funktioniert allerdings nicht.

System: Windows 11 Pro ARM 23H2 (virtuelle Maschine); User=Administator

* Zunächst, Edge hab ich aus Trägheit verwendet, weil nur Test-VM. Habe jetzt FF dazuinstalliert. Edge macht keine großen Probleme, zeigt halt nen einfachen wegklickbaren Hinweis bei runtergeladenen Anwendungen an (und nervt mit Firlefanz bei jedem Update).

### NACHTRAG: Korrektur, Edge zickt doch rum und erlaubt den Download gar nicht, je nach Einstellung. Hab jetzt innerhalb von Edge, wenn ich mich richtig erinnere, sowohl komplettes Blockieren, als auch "nur Warnung", als auch gar keine Warnung gesehen bei derselben Datei, je nach Einstellung. Deaktivieren von "Apps und Dateien überprüfen"(s.u.) löst nicht nur das Problem beim Ausführen der Datei, sondern auch innerhalb des Downloadmechanismus bei Edge. Man muss an den anderen Sicherheitseinstellungen (die z.T. explizit Edge erwähnen) nix ändern.

NACHTRAG 2: Edge ist irgendwie völlig verbuggt, oder heute ist der Wurm drin. Ohne dass ich was geändert habe, wird mal blockiert, mal wird gar nix runtergeladen aber auch nix gemeldet, und mal wird ohne Probleme runtergeladen. Dubios. Liegt m.E. nicht am Server sondern an Edge... evtl. abhängig von Rechtsclick->Ziel speichern vs. Linksklick, aber egal... nur mal angemerkt, falls jemand Ähnliches beobachtet.

  • Habe Ordner erstellt in C: (root), außerdem in Documents.
  • Habe dorthin mit FF runtergeladen.

Nach wie vor wird das Öffnen komplett blockiert - das hierbei auftauchende blaue Fenster hat auch keinen "Dennoch installieren"-Button.*

Nur "Apps und Dateien überprüfen" deaktivieren in "Zuverlässigkeitsbasierter Schutz" scheint zu helfen. M.E. handelt es sich hierbei um so ein Reputationsgedöns, ohne dass jemand mit echter Ahnung drübergeschaut hat. Ist die Datei schlicht recht neu, gilt sie als "verdächtig" und wird komplett geblockt, um Durchschnittsuser vor sich selbst zu schützen. Vermute ich. (?)

* Den es durchaus geben kann: https://www.elevenforum.com/t/enabl...k-apps-and-files-from-web-in-windows-11.5731/
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

I
Digitale Signatur - Fehlermeldung in Outlook
Antworten
2
Aufrufe
4.537
isd
I
L
  • Gesperrt
Mit welchem Linux-Tool kann man sicher eine exe-Datei auf gültige digitale Signatur hin prüfen?
  • linuxfan
  • Linux
Antworten
4
Aufrufe
1.585
phil.
phil.
T
Treiber ohne digitale Signatur dauerhaft verwenden?
Antworten
12
Aufrufe
24.584
JimPanse1984
JimPanse1984
J
Windows 10 bootet nicht, digitale Signatur defekt
Antworten
2
Aufrufe
3.663
Julz2k
J
M
Fehlermeldung USB 3.0 eXtensible-Hostcontroller / digitale Signatur Treiber / Code 52
Antworten
2
Aufrufe
1.958
Masch2016
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz