Werden die Certifikate auf der Platte aktuallisiert ?

Werden die Certifikate auf der Platte aktuallisiert ?

Postby TBax » 17.01.2017, 23:42

(Entschuldigung, falls das Thema schon zigmal erörtert wurde)

Ich habe mich endlich mal mit den Signaturen von EXEs und Certifikaten informiert. Hat eine Weile gedauert, bis ich es ein wenig kapiert habe.

Wenn man eine signierte EXE startet, baut Windows eine Verbindung ins Internet auf und fragt ab, ob das Certifikat, mit dem die Signatur unterschrieben wurde, mittlerweile verworfen wurde. Wenn man aber einen Offline-PC hat, kann das System nirgends nachfragen, es muss auf lokale Infos zugreifen, die dann so aktuell wie möglich sein sollten. Demnach müssen die öffentlichen Schlüssel auf der Platte liegen, sonst könnte man mit Offline-PCs die EXE-Signatur nicht mit Sigcheck.exe prüfen, oder?

Meine Frage ist nun:
Werden mit WSUS Offline diese Certifikate auf der Platte monatlich aktuallisiert oder nicht?
Wenn dem nicht so ist, bringt Sigcheck.exe überhaupt was?

Mein Hauptziel ist: prüfen von signierten EXE auf Originalität mit Sigcheck.
Checksums auf der Homepage sind auch ok, solange die Webseite nicht gekapert wurde.

Danke für eine Antwort.

Ted
TBax
 
Posts: 18
Joined: 14.10.2010, 17:20

Re: Werden die Certifikate auf der Platte aktuallisiert ?

Postby aker » 18.01.2017, 07:48

Wsusou kann die Zertifikate nicht mehr aktualisieren, da MS die Dateien dafür nicht mehr anbietet. Früher haben wir dafür die rootsupd.exe von 2014 verwendet, jedoch sind die Links mittlerweile tot. Einzige Umgehung momentan: die alte rootsupd.exe besorgen und manuell installieren.
Und: wenn kein Zertifikat im Store gespeichert ist, dem sigcheck vertraut, wird die Signatur als ungültig betrachtet. Eine Installation unsignierter Dateien durch fehlende Zertifikate ist also ausgeschlossen.

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 2799
Joined: 02.03.2011, 15:32

Re: Werden die Certifikate auf der Platte aktuallisiert ?

Postby TBax » 25.01.2017, 07:50

Sorry für die lange Verzögerung, musste einmal mehr mit Notfallwagen ins Krankenhaus.

Vielen Dank für die Informationen.
Schade, dass keine automatische Aktualisierung mehr möglich sind.
Ich habe über Signaturen usw kein fest verankertes Wissen, alles ist recht neu und muss mühsam zusammengelesen werden. Nach dem KH-Aufenthalt sind die Infos weg und ich darf mich neu einlesen.

Aufbauend auf dem MS-Satz "An automatic updater of untrusted certificates is available for Windows Vista,
Windows Server 2008, Windows 7, and Windows Server 2008 R2" werde ich mich wieder einlesen.
TBax
 
Posts: 18
Joined: 14.10.2010, 17:20

Re: Werden die Certifikate auf der Platte aktuallisiert ?

Postby aker » 25.01.2017, 10:23

Erst einmal gute Besserung.

Eine Kurzzusammenfassung von Signaturen
Grundsätzlich aktualisiert Windows seine Zertifikate von selbst. Solange das System nicht mit dem Internet verbunden ist, funktioniert dies natürlich nicht.
Dazu gab es einmal (zur Zeit von Windows XP) die Datei rootsupd.exe, welche die Stammzertifikate aktualisiert.

Updates und Dateien werden in dem Moment als vertrauenswürdig angesehen, wo sie zu einem Zertifikat zurückverfolgt werden können, welches im Zertifikatspeicher von Windows gespeichert ist.
Außerdem müssen diverse Prüfsummen der Datei mithilfe dieses Zertifikats überprüft werden können.
Wenn beides gegeben ist, meldet sigcheck.exe [das von wsusou verwendete Programm zur Signaturüberprüfung] bzw. die interne Windows Update-Prüfroutine, dass die Datei signiert & die Signatur gültig ist.

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 2799
Joined: 02.03.2011, 15:32


Return to Verschiedenes / Miscellaneous

Who is online

Users browsing this forum: No registered users and 3 guests