Könntet ihr eure Windows Installer des TV Browsers mit PGP signieren?

Ideen, wie TV-Browser verbessert werden kann
Antworten
Gast_Oskar

Könntet ihr eure Windows Installer des TV Browsers mit PGP signieren?

Beitrag von Gast_Oskar »

Ich weiß jetzt nicht, warum der andere Thread so schroff einfach gesperrt wurde, aber ich habe dort auch die Frage gestellt ob ein signieren via PGP möglich wäre. Das ist zwar nicht so gut wie eine digiale Signatur über Zertrifikate, aber wäre immerhin eine Lösung die keine Kosten verursacht.

Bedenkt bitte, dass ihr über eure Downloadhoster, wie bspw. sourceforge keine Kontrolle habt, wenn die mal gehackt werden, könnte da jeder den Installer manipulieren und mit Schadsoftware erneut hochladen. Ebenso könnte auch eure Webseite Opfer werden und der Link verändert werden.

Wäre der Installer signiert, dann würde das im ersten Fall sofort auffallen wenn die Signatur nicht passt und im zweiten Fall würde es zumindest denen auffallen, die den Public Key vor dem Einbruch schon downgeladen hatten und nun nur noch die Signatur der neuen Version prüfen müssen.
Wäre der Public Key von anderen Public Keys unterschrieben, würde das noch zusätzliches Vertrauen schaffen.

PS: Zum alten Thread hätte ich gerne noch was zu deinem Einwand bezüglich AV und digitale Signautr geschrieben, aber der Thread ist ja leider zu.
Gast_Oskar

Re: Könntet ihr eure Windows Installer des TV Browsers mit PGP signieren?

Beitrag von Gast_Oskar »

Übrigens noch etwas zu den Zertifkaten. Man kann auch einen Verein gründen und den dann den Vertragspartner der Zertifizierungsstelle sein lassen. Dann geht das auch mit dem Sponsoring besser. Die The Document Foundation macht das bspw. bei Libre Office so, das ist eine Non-Profit Organisation und so etwas wäre auch beim TV-Browser möglich.
Ebenso könnte man auch darüber nachdenken, bei eine der Open Source Vereine oder Oganisationen unterzukommen um eine Signierung mit Zertifizierung auf diese Weise zu bekommen.
ds10
Site Admin
Beiträge: 19095
Registriert: 23 Jun 2005, 12:36
Kontaktdaten:

Re: Könntet ihr eure Windows Installer des TV Browsers mit PGP signieren?

Beitrag von ds10 »

Warum fällt es dir eigentlich so schwer, ein einfaches Nein zu akzeptieren? Eine PGP-Signatur erhöht die Sicherheit nicht, sondern erzeugt nur eine Scheinsicherheit. Nehmen wir einmal dein Beispiel, dass sie Webseite gehackt wird, dann kann der Hacker da alles drauf schreiben, auch dass der private Schlüssel verloren gegangen ist und es daher jetzt einen neuen gibt und schon wiegen sich viele in Sicherheit. Es könnte aber auch sein, dass es kein Hacker war, sondern der Schlüssel tatsächlich verloren gegangen ist, wie soll man als Nutzer also erkennen, dass eine Aussage auf der Webseite von uns stammt oder von einem Hacker? Das geht einfach nicht, da es immer ein Szenario gibt, in dem jede Kontrollinstanz auch gehackt wurde.

Wenn dir das Downloaden des Installers ohne Signatur ein zu großes Risiko ist, dann lade TV-Browser im Quellcode herunter und kompiliere den dann selbst. Dann kannst du zumindest sicher sein, dass es der vorliegende Quellcode ist, der kompiliert wurde. Aber auch dann gibt es keine Sicherheit, denn der Quellcode könnte ja auch verändert worden sein, wenn ein Hacker zu Gange war.

Ich kann ja einmal drüber nachdenken, die Hashs der Pakete auf der Webseite zu veröffentlichen, dann könnte man die immerhin mit den heruntergeladenen Paketen vergleichen. Würde aber auch nicht gegen einen Hacker helfen, der die Webseite hackt.

Über Verein oder Mitgliedschaft in einem Verein, brauchen wir nicht zu diskutieren, denn das kommt nicht in Frage. Letztendlich ist dein Wunsch nur, dass wir dir das Leben einfacher machen, auf Kosten der Erhöhung der Komplexität auf unserer Seite. Und wofür das Ganze, für eine Scheinsicherheit, denn ich könnte ja auch gehackt werden, so dass jemand sogar den originalen Signaturschlüssel erbeutet und dann?
"First they ignore you, then they ridicule you, then they fight you, then you win." - Mahatma Gandhi
Unterstütze die Weiterentwicklung von TV-Browser
Gast_Oskar

Re: Könntet ihr eure Windows Installer des TV Browsers mit PGP signieren?

Beitrag von Gast_Oskar »

ds10 hat geschrieben: 04 Jun 2020, 10:18 Warum fällt es dir eigentlich so schwer, ein einfaches Nein zu akzeptieren?
Dein nein bezieht sich auf die Signatur mit Zertifikaten mit der Begründung der Kosten. PGP ist eine ganz andere Geschichte und solange du das nicht beantwortet hast, ist das auch nicht als nein aufzugreifen.

Eine PGP-Signatur erhöht die Sicherheit nicht, sondern erzeugt nur eine Scheinsicherheit.
Ließst du was ich schreibe
In meinem alten Thread schrieb ich: "Die Signatur würde gewährleisten, dass die Binaries von euch sind und die Integrität stimmt,"
Und genau das kann auch die PGP Signatur.
Nehmen wir einmal dein Beispiel, dass sie Webseite gehackt wird, dann kann der Hacker da alles drauf schreiben,
Richtig, aber die Signatur würde nicht zu dem PGP Key vom letzten mal passen der sich in meinem Schlüsselbund befindet.
auch dass der private Schlüssel verloren gegangen ist
Hast du das Prinzip von PGP verstanden? Den privaten Schlüssel legt man nicht auf Webserver ab. Und wenn er dir verloren geht, dann musst du ihn eben revoken. Damit ist er ungültig. Und dann brauchst du nen neuen.
Es könnte aber auch sein, dass es kein Hacker war, sondern der Schlüssel tatsächlich verloren gegangen ist, wie soll man als Nutzer also erkennen, dass eine Aussage auf der Webseite von uns stammt oder von einem Hacker? Das geht einfach nicht, da es immer ein Szenario gibt, in dem jede Kontrollinstanz auch gehackt wurde.
Neue PGP Keys werden normalerweise mit dem alten signiert, dann kann der alte auslaufen und der neue wird gültig. Der Hacker hat den privaten Key aber nicht und kann daher den neuen PGP Key nicht signieren.
Momentan hat der Nutzer nicht einmal eine Kontrolle über die Integriert des Downlaods auf soureforge. Ich sehe auf eurer Downloadseite nicht einmal Prüfsummen und die wären schon das mindeste, eine PGP Signatur ist natürlich noch besser.
Wenn dir das Downloaden des Installers ohne Signatur ein zu großes Risiko ist, dann lade TV-Browser im Quellcode herunter und kompiliere den dann selbst. Dann kannst du zumindest sicher sein, dass es der vorliegende Quellcode ist, der kompiliert wurde.
100000 Nutzer sollen also 30 min mit compilieren aufbringen, macht also 5,7 Jahre, damit ihr als Entwickler 10 min Zeitersparnis habt?

Weißt du was Steve Jobs in den Anfängen von Lisa oder des Macintosh mal seinem Betriebssystementwickler gesagt hat?
Er sagte ihm, die Bootzeit muss schneller gehen, überlege mal, wenn es dir gelingt die Bootzeit um 20 s zu verkürzen, dann ersparst du n Millionen Menschen x tausend Mannjahre. Das hat der Entwickler verstanden, also hat er sich noch einmal dran gesetzt und konnte die Bootzeit sogar um mehr als 20 s verkürzen. Viele Menschen haben so Lebenszeit eingespart, die sie besser nutzen konnten und dads verdanken sie dem Entwickler und Steve Jobs.

Mal davon abgesehen davon, dass eurer Quellcode auch nicht signiert ist und sogar einen Code Audit bräuchte. DIe Alternative zum Code Audit könnte Vertrauen sein, aber dafür müsstet ihr den Code signieren.
Ich kann ja einmal drüber nachdenken, die Hashs der Pakete auf der Webseite zu veröffentlichen, dann könnte man die immerhin mit den heruntergeladenen Paketen vergleichen. Würde aber auch nicht gegen einen Hacker helfen, der die Webseite hackt.
Ja, das wäre ein Schritt vorwärst und wenn ihr wie die Entwickler des Debian Projekts die Hash sha256 Dateien noch via PGP signiert, dann könnten wir Nutzer wenigstens darauf vertrauen, das die Binaries und Hashwerte von euch sind.
Über Verein oder Mitgliedschaft in einem Verein, brauchen wir nicht zu diskutieren, denn das kommt nicht in Frage.
Es war auch nur ein Vorschlag.
Letztendlich ist dein Wunsch nur, dass wir dir das Leben einfacher machen, auf Kosten der Erhöhung der Komplexität auf unserer Seite.
Falsch, ich gebe euch diese Hilfe zur Verbresserung, damit sich die Situation für alle verbessert. So wie es momentan läuft, gibt's halt weiterhin die Gefahr, dass ein paar Rechner mehr zu Botnetzen werden und dir dann Spammails in den Briefkasten werfen oder eure Webseite DDosen. Bedenke bitte auch, dass ihr nicht das einzige Open Source oder Freeware Projekt seit, würden aber alle Projekte darauf hinarbeiten, dass die Integrirtät besser gewährleistet und geprüft werden kann, dann würde sich der Allgemeinsituation für alle verbessern und aus diesem Blickwinkel sehe ich das.
Hätte ich selber so ein Projekt am laufen, dann würde ich immer Prüfsummen und eine PGP Signatur mitliefern. Debian und andere Projekte, wie bspw. Putty gehen hier mit gutem Beispiel vor.
Und wofür das Ganze, für eine Scheinsicherheit, denn ich könnte ja auch gehackt werden, so dass jemand sogar den originalen Signaturschlüssel erbeutet und dann?
Mit der gleichen Argumentation könntest du auch behaupten, dass Firewalls unnötig sind. Sie sind ja auch nur eine weitere Sicherheitsstufe.
Gast_Oskar

Re: Könntet ihr eure Windows Installer des TV Browsers mit PGP signieren?

Beitrag von Gast_Oskar »

Sorry übrigens für die Tippfehler, ich hätte es nochmal vor dem abschicken lesen und korrigieren sollen.
Gast_Oskar

Re: Könntet ihr eure Windows Installer des TV Browsers mit PGP signieren?

Beitrag von Gast_Oskar »

Noch ein Tipp als Ergänzung:

Die Erstellung der sha256 Prüfsummen könntet ihr über euren Buildserver automatisieren. Dann müsstest ihr nur noch die sha256 Prüfsummendateien mit PGP manuell signieren. Das reicht völlig und geht schnell, da Prüfsummendateien sehr klein sind. Die Leute von Debian und Putty machen es auch so.

Prüfsummen und PGP Signatur können auf den gleichen Server wie die Binaries.
Euer Public Key sollte auf euren Websever und idealerweise noch auf einen PGP Keyserver.

Und was das Beispiel mit Steve Jobs betrifft. Ich wünschte Bill Gates hätte das gleiche zu seinem Entwickler gesagt, der die Windows Update Funktion programmiert hat. Was man da heute an Zeit für viele Millionen Nutzer einsparen hätte können...
ds10
Site Admin
Beiträge: 19095
Registriert: 23 Jun 2005, 12:36
Kontaktdaten:

Re: Könntet ihr eure Windows Installer des TV Browsers mit PGP signieren?

Beitrag von ds10 »

Ich stimme dir in sofern zu, dass die Prüfsummen gefehlt haben, deshalb habe ich die zur Webseite hinzugefügt. Für die Downloads waren sie aber immer schon bei Sourceforge verfügbar. Jetzt kann man sie zusätzlich noch abgleichen, zusammen mit dem Datum auf Sourceforge und der Webseite.

Dennoch eine Signierung kommt zur Zeit nicht in Frage (die Kosten sind da nur ein Aspekt). Generell musst du immer darauf vertrauen, dass andere ehrlich sind und mit Hackern zu argumentieren (das hast du zuerst gemacht), hilft da nicht weiter, denn dann ist alles unsicher. Die einzige Methode ziemlich sicher zu sein, dass TV-Browser nicht kompromittiert ist, ist den Quellcode aus dem Sourceforge-SVN zu laden und dann Zeile für Zeile durchzugehen und dann selbst zu kompilieren (was im Übrigen bei Weitem keine 30 Minuten dauert), natürlich musst du den Compiler vorher genauso selbst kompiliert haben und das Java selbstverständlich auch. Sonst vertraust du letztendlich doch irgendwem.
"First they ignore you, then they ridicule you, then they fight you, then you win." - Mahatma Gandhi
Unterstütze die Weiterentwicklung von TV-Browser
Antworten