Dies ist eine Original-Dokumenation, alle Rechte ©2003: E.J.Minhorst, Leipzig
Für diese Publikation gelten die Copyright-Bestimmungen am Ende der Seite.
Diese Erklärungen sollen helfen, die verwirrenden Aussagen von WINDOWS©
bei der Installation einer signierten Software besser zu verstehen.
Einzelheiten
zu "digitale Signatur" / "Authenticode" / "Zertifikat" entnehmen Sie bitte der
Microsoft™-Dokumentation bzw. der Online-Hilfe für die betreffende Software!
Falls Sie eine meine Signatur aus einem Software-Packet mit dem Original (Zertifizierungsstelle) vergleichen möchten, können sie die Vergleichs-Signatur von hier aus herunterladen. Windows wird die notwendigen Verifizierungs-Schritte automatisch für Sie vornehmen.
Leipzig, im Frühjahr 2003: E.J.Minhorst
Vorab: es muss grundsätzlich klar sein, dass der sogenannte "Makro-Virenschutz" der OFFICE-Produkte keine besonders wirksame Waffe gegen aggressive Viren ist: dafür sind die Sicherheitsmechanismen des Betriebssystems bzw. der Netzwerk-Administrator zuständig (z.B. über Zugriffsberechtigungen, Sperrungen etc.)!! Es läßt sich über die "Sicherheitseinstellung" von WORD lediglich festlegen, ob man generell alle Makros und/oder nur digital signierte Makros akzeptiert. Diese Sperre ist jedoch kein Viren-Scanner!
Ein Virus könnte z.B. ein "Autoexec-Makro" sein, das beim Öffnen
des Dokumentes automatisch ausgelöst wird und unbemerkt irgendwelche böswilligen
Aktionen im System ausführt. Das bedeutet nicht, dass Autoexec-Makcros
grundsätzlich böswillig sind:
z.B. prüft ein Makro per Autoexec, ob beim Öffnen des Dokumentes
das eigene Menü vorhanden ist und erstellt notfalls ein neues - demnach
wäre dies nur ein netter Service und keinesfalls ein Virus !
Denkbar wäre vielleicht noch die Möglichkeit - durch Visual-Basic (der Programmiersprache von Makros) automatisiert - ein neues, völlig eigenständiges Programm zu generieren, dieses abspeichern und anschließend unabhängig von WORD laufen zu lassen. Dies wäre dann ein "echter" Virus! Wenn sich dieses Programm dann auch noch selbst kopieren und verbreiten könnte, wäre die Sabotage perfekt. Angesichts der eingeschränkten Möglichkeiten von Visual-Basic halte ich diese Variante jedoch für sehr unwahrscheinlich. In solchen Fällen würde der "Makro-Virusschutz" von WORD sowieso nichts mehr nützen!
Benutzerdefinierte Menüleisten (Symbolleisten) werden von WORD ebenfalls als "Makro" interpretiert. Daher können auch Dokumente, die gar keine Makros sondern nur ein angepasstes Benutzer-Menü besitzen, beim Öffnen Warnmeldungen von WORD provozieren.
Findet WORD beim Öffnen eines Dokumentes in der zugehörigen Vorlage einen Modul-Bereich (auch wenn dieser völlig leer ist), geht WORD grundsätzlich davon aus, dass hier Makros im Spiel sind. Sollten Sie also einmal ein Dokument (oder eine Vorlage) erhalten, bei der feststeht, dass sie weder Menüleisten noch Makros enthält aber trotzdem eine Warnmeldung beim Öffnen erhalten, dann löschen Sie mit Hilfe des VBA-Editors das Modul "NewMacros". Dieses Modul wird nämlich immer dann automatisch angelegt, wenn jemand ein Makro aufzeichnen will.
<< zurück zum Inhaltsverzeichnis
Man kann davon ausgehen, dass ein digital signiertes Programm, wo "Mann und Pferd" nachprüfbar genannt werden, relativ vertrauenswürdig sind. Es geht bei Sicherheitsfragen am PC doch hauptsächlich darum, keine anonymen Programme zuzulassen, bei denen der Urheber nicht bekannt ist. Es wird wohl kaum jemand einen Virus digital signieren - und wenn, dann nur mit einer "Fake"-Adresse. Deshalb sollte man auf jeden Fall die tatsächliche Existenz des Absenders einer Signatur prüfen! Lesen Sie dazu: Sie trauen der Signatur nicht?
Auch ohne geöffnetem Dokument können Sie unter WORD im Hauptmenü "Extras/Makro/Sicherheit" die Sicherheitsvorgaben einstellen und prüfen, wem WORD bislang vertraut:
Zunächst können Sie hier die generelle Sicherheitsstufe für Makros einstellen. Die Option "Mittel" wäre zu empfehlen: hierbei werden Makros vor dem Start auf vorhandene Signaturen überprüft und bei Gültigkeit sofort, ohne Rückfrage gestartet. Es wird deshalb aber unsignierten Makros der Start nicht grundsätzlich verweigert: Sie können im Einzelfall selbst entscheiden, ob Sie ein Makro (z.B. Ihr eigenes!) zulassen, da WORD Sie beim Start dazu abfragen wird.
Interessant ist die 2. Registerkarte "Vertrauenswürdige Quellen": hier trägt WORD die Signaturen ein, welche über die Makro-Warnmeldung beim Start zugelassen wurden.
Aktivieren Sie das Häkchen "Allen installierten AddIns und Vorlagen vertrauen", damit WORD beim Start nicht jedesmal eine Zertifizierungsstelle sucht: das verzögert die Startzeit erheblich! - es sei denn, Sie haben berechtigte Zweifel an der Echtheit des Programms und wollen die Signatur erst prüfen:
Natürlich können Sie jederzeit diese "Vertrauenswürdigen Quellen" entfernen, um z.B. beim erneuten Start eines Makros die Signatur zu überprüfen.
<< zurück zum Inhaltsverzeichnis
Wenn die Sicherheitseinstellungen von WORD (Hauptmenü/Extras/Makro/Sicherheit) auf "mittel" oder "hoch" eingestellt sind, erscheint beim Öffnen einer Vorlage mit enhaltenen Makros folgende Meldung:
Die Aussage "Programmierer E.J.Minhorst" ist schon mal beruhigend: das Makro ist demnach von mir digital signiert worden. Wenn Sie sich der Quelle sicher sind, von der Sie das Programm heruntergeladen haben, können Sie jetzt direkt das Häkchen "Makros aus dieser Quelle immer vertrauen" anhaken und auf "Makros aktivieren" klicken.
Ab jetzt wird beim Start des Makros nicht mehr mit Warnmeldungen gestört !
<< zurück zum Inhaltsverzeichnis
Vorsichtige Benutzer könnten durch die Meldung "Vertrauen Sie dieser Authentisierung nicht" (... was für ein Deutsch!) unnötig in Panik versetzt werden (dieser Text erscheint immer in der Makro-Warnmmeldung beim Start von WORD). Das bedeutet nur, dass Ihr System den "Programmierer E.J.Minhorst" nicht kennt (nicht "verifizieren" kann) - na, woher denn auch? Wenn Sie mehr über dessen digitale Signatur (Microsoft nennt das "Zertifikat") wissen möchten, klicken Sie bitte in dem Warnfenster auf den Knopf "Details.." - es erscheint daraufhin das folgende Informations-Fenster:
Es muss als Zertifikats-Inhaber "Programmierer E.J.Minhorst" und als Aussteller "Administrator E.J.Minhorst" erscheinen. Wichtig ist das Gültigkeitsdatum - falls abgelaufen, schreiben Sie mir bitte eine kurze Mail: admin@ejomi.de. Unter der Registerkarte "Details" finden Sie die Zeile "Schlüsselkennung des Antragstellers" - diese Kennung muss für das Zertifikat lauten (nur für den angegebenen Zeitraum gültig!):
12.05.2003 - 12.05.2004
C000 CC74 4DA0 17E1 F91E 212E F773 15E4 86E3 8C5A
Wenn Sie in dem Fenster "Sicherheit" das Häkchen "Allen installierten AddIns und Vorlagen vertrauen" n i c h t aktiviert haben, versucht WORD bei jedem Start erneut eine Zertifizierungsstelle zu finden um die Signaturen zu vergleichen - das kann lästig werden und den Start unnötig verzögern!
Sollten Sie während dieser Aktion mit dem Internet Online verbunden sein (z.B. über eine Standleitung / DSL), hat WORD bereits im Hintergrund versucht, die Zertifizierungsstelle auf meiner WebSite zu erreichen. In diesem Fall erscheint im oben abgebildeten Info-Fenster der Text "Dieses Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden":
Kein Grund zur Aufregung: die Zertifizierungsstelle meiner Signaturen befindet sich - öffentlich nicht zugänglich - nur auf meinem Entwicklungsrechner. Niemand kann sich in meinem Namen Zertifikate ausstellen - das ist dadurch gewährleistet!
In jedem Fall gibt aber das Info-Fenster Auskunft darüber, wer Aussteller (Administrator E.J.Minhorst) und Inhaber (Programmierer E.J.Minhorst) der Signatur ist - das sollte im Allgemeinen reichen. Verfahren Sie wie unter "Makro-Warnmeldung" beschrieben fort und vertrauen Sie ruhig meinem Programm - es ist garantiert unschädlich!
Falls Sie den Verdacht haben, dass meine Software manipuliert wurde, laden Sie bitte das Vergleichs-Zertifikat (siehe: nächster Abschnitt) von meiner WebSite herunter und prüfen Sie bitte meine Signatur etwas genauer.
<< zurück zum Inhaltsverzeichnis
Falls Sie meine Signatur (Microsoft nennt das "Zertifikat") auf seine Echtheit prüfen wollen, brauchen Sie zunächst eine bestehende Verbindung zum Internet und den Internet-Explorer ab Version 4.0. Ein Vergleich meiner Signatur ist dann sinnvoll, wenn der Verdacht besteht, dass entweder die Software oder die Signatur manipuliert oder beschädigt wurden. Dazu muss das sogenannte "Sicherheitszertifikat" des Signatur-Ausstellers heruntergeladen werden. Windows vergleich damit die Aussteller-Informationen der digitalen Software-Signatur und bestätigt dann - hoffentlich - deren Echtheit! (Empfehlung: lesen Sie vor dem Herunterladen dieses Kapitel zuende, um die einzelnen Meldungen beim Download und während der Installation besser zu verstehen)
Klicken Sie zum Download + Installation auf diesen Link: Sicherheitszertifikat E.J.Minhorst
Der Internet-Explorer meldet sich daraufhin mit dieser Download-Anfrage:
Das Sicherheitszertifikat soll nicht heruntergeladen und gespeichert sondern geöffnet werden, damit Sie es anschließend vom Internet aus sicher installieren können. Es erscheint danach automatisch das folgende Informations-Fenster (was auf den ersten Blick dem der "normalen" Signatur gleicht):
Bravo Microsoft! Was bislang "Sicherheits-Zertifikat" hieß, wird hier "Zertifizierungsstellen-Stammzertifikat" genannt - kurz: es ist das was wir brauchen!
Solange dieses Sicherheitszertifikat nicht auf Ihrem System installiert ist, gilt es als "nicht vertrauenswürdig", da noch keine Gegenprüfung stattfinden konnte. Zumindest können Sie aber jetzt schon einige Details überprüfen um festzustellen, dass es sich um das richtige Zertifikat handelt: es trägt den Namen Administrator E.J.Minhorst und ist von mir mit einer Gültigkeitsdauer 10 Jahre festgelegt worden. Demnach sind mit diesem Zertifikat Überprüfungen meiner diversen Signaturen vom 12.05.2003 20:30 Uhr bis einschließlich 12.05.2013 20:32 Uhr möglich - danach sehen wir uns wieder!
Klicken Sie jetzt auf den Knopf "Zertifikat installieren ..." Der Internet-Explorer quittiert zunächst mit der Meldung
Etwas für "Erbsenzähler": Sie können die Daten dieser Abbildung mit denen, die Ihr Internet-Explorer liefert, vergleichen (man kann es aber auch übertreiben!). Klicken Sie auf den Knopf "Ja" und - fertig !
Wenn Sie - wie vorher beschrieben - das Sicherheitszertifikat installiert haben, öffnen Sie WORD mit Sicherheitsstufe "Mittel" oder "Hoch" und laden die Vorlage mit den enthaltenen Makros.
Falls Sie bis jetzt WORD noch nicht veranlasst haben, meiner Signatur zu vertrauen, öffnet sich beim Start meiner Makros wieder die bekannte Warnmeldung. Wie WORD Signaturen vertraut (oder nicht vertraut), finden Sie unter Wem vertraut WORD?.
Dort wurde bisher beim Klick auf den Knopf "Details" die Information "Windows hat keine ausreichenden Informationen ..." geliefert:
Damit müsste jetzt Schluss sein! Die auf Echtheit geprüfte Signatur muss sich als Info-Fenster mit dem Hinweis: "Zwecke des Zertifikats: Garantiert, dass die Software von einem Software-Herausgeber stammt ..." erscheinen. Das komplette Fenster sieht so aus:
Diese Information beweist die Echtheit meiner Signatur: Aussteller und Inhaber der Signatur sind eindeutig und der Verschlüsselungs-Algorithmus wurde ordnungsgemäß vom System identifiziert. Die Gültigkeitsdauer der Signatur ist aus Sicherheitsgründen auf 1 Jahr begrenzt worden.
<< zurück zum Inhaltsverzeichnis
Theoretisch könnte sich ein ausgebuffter Digital-Feind mit genügend krimineller Energie eine Scheinexistenz aufbauen und diese von einer hoch-offiziellen Zertifizierungsstelle registrieren lassen. Anschließend könnte er dann unter diesem Namen z.B. ein "ordentlich" signiertes Tool verbreiten, das sogar einen gewissen Nutzen verspricht. Tatsächlich könnte das Programm aber eine geschickte Verpackung eines Virus sein.
Da es digital signiert war, würde sich aber jeder Benutzer in Sicherheit
wiegen, bis eines Tages . . . der blanke Horror !!
Natürlich würde der Schwindel bald auffliegen - aber was heißt schon "bald"? Um schweren Schaden anzurichten reichen bei einem Computer einige Millisekunden (im Übrigen gäb's ja da noch die Möglichkeit der zeitgesteuerten Viren, die erst lange Zeit nach ihrer Verbreitung aktiv werden könnten ...).
Dies wäre ein Beispiel von vielen, wie gefährlich naive Computergläubigkeit sein kann. Informatik-Spezialisten warnen zu Recht immer mehr vor möglichen Terroranschlägen - ohne Lärm und Bomben!!!
Fazit: nur ein geschulter System-Administrator (wir gehen davon aus, dass er kein Terrorist ist!) kann mit Hilfe der - Gott sei Dank - inzwischen vielfältigen Sicherheitsmechanismen des Betriebssystems einen "Anschlag" verhindern. Die digitale Signatur einer Software hilft ihm dabei, die Echtheit und Herkunft des Programms zu prüfen - mehr jedoch nicht! Um dies zu ermöglichen, habe ich diverse Makros von mir digital signiert.
Die Identität meiner Web-Site sowie aktuelle Informationen zu meiner Person können Sie online über die RIPE "Whois"-Datenbank abrufen: Who is "ejomi.de"?
<< zurück zum Inhaltsverzeichnis
- ZURÜCK ZUM ANFANG DES DOKUMENTES -
Copyright + Haftung: |
|
Alle Rechte ©2001-2003: Dieses Publikation darf darf ohne Genehmigung zu privaten Zwecken (gem. § 53 UrhG) lokal auf einen Rechner herunterkopiert werden. Alle anderen Formen der Nutzung, insbesondere der kommerziellen Nutzung, die nicht dem Zweck und der erklärten Absicht dieser Veröffentlichung entsprechen, bedürfen der schriftlichen Genehmigung des Autors. Die Verbreitung von lediglich Auszügen oder Zitaten aus diesem Dokument - z.B. in Form von Bildschirm-Abzügen ("Screen-Shots") o.ä. - ist nicht gestattet. Das gilt auch für private Kopien! Abgesehen von der Ausnahme "privater Zweck" darf kein Teil dieser Publikation ohne schriftliche Genehmigung des Autors in irgendeiner Form reproduziert oder in eine für Maschinen, insbesondere Datenverarbeitungsanlagen, verwendbare Sprache kopiert und übersetzt werden. Auch die Rechte der Wiedergabe durch Vortrag, Funk und Fernsehen bleiben vorbehalten. Die in dieser Publikation erwähnten Soft- und Hardwarebezeichnungen sowie Signets oder sonstige Bild-, Ton- oder Schrift-Dokumente können eingetragene Marken- oder Firmennamen sein und unterliegen als solche den gesetzlichen Bestimmungen Der Autor übernimmt keine Gewähr für Aktualität, Vollständigkeit oder Fehlerfreiheit der in dieser Dokumentation bereitgestellten Informationen. Haftungsansprüche gegen den Autor, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen, Daten und/oder von herunterladbaren Inhalten, Programmen verursacht wurden sind ausgeschlossen. |
- ZURÜCK ZUM ANFANG DES DOKUMENTES -