Holger Jeromin | 30 Oct 17:04 2009
Picon

Integrität des Programms?


Hallo zusammen,

ich würde gerne Hibiscus einsetzen, mache mir jedoch Gedanken über die
Manipulierbarkeit des Programmarchivs. Etwas Paranoia ist bei
Homebankingsoftware ja angebracht.

Die angegebene MD5 Summe ist sinnvoll, jedoch ist sie eher was gegen
Installationsprobleme. Der Downloadserver und die Webseite nutzt kein
HTTPS, so dass die MD5 Summe beliebig manipuliert sein könnte.

Die GPG Signatur ist da schon spannender. Dass jedoch auf der Webseite
empfohlen wird dem Key "info <at> willuhn.de" einfach so ohne Prüfung zu
vertrauen ist jedoch ein extrem schlechter Rat.

Der Schlüssel hat auch keinerlei Signatur bekannter Stellen. Eine
Signatur der c't-Kryptokampagne oder nur eines Debian-Mitarbeiters zum
Beispiel hätte Gewicht. Die vier Unterschriften des Keys sind alle in
der Richtung auch nicht sehr ergiebig... 8-/

Die Setuproutine vom der VR Krautheim ist da sogar noch viel schlimmer,
da sie sogar auf einen überhaupt nicht vertrauenswürdigen Server linkt:
http://www.downloadcounter.de/counter.pl?file=http://jameica-banking.vb-krautheim.de/jameicabanking-setup120.exe&user=hylli

--

-- 
Mit freundlichen Grüßen
Holger Jeromin
HBCI4Java (Stefan Palme | 30 Oct 19:20 2009

Re: Integrität des Programms?

Hallo,

ich verstehe zwar Dein prinzipielles Problem - aber Deine
Argumentation nicht ganz.

On Fri, 2009-10-30 at 17:04 +0100, Holger Jeromin wrote:
> Die angegebene MD5 Summe ist sinnvoll, jedoch ist sie eher was gegen
> Installationsprobleme. Der Downloadserver und die Webseite nutzt kein
> HTTPS, so dass die MD5 Summe beliebig manipuliert sein könnte.

Was würde HTTPS denn nutzen? Wenn ein Angreifer auf dem Server
einbricht, dort ein manipuliertes Archiv hinterlegt und die MD5-
Summe, die auf der Webseite angezeigt wird, ebenfalls entsprechend
anpasst, nützt auch HTTPS beim Verbindungsaufbau mit dem Server
nichts...

> Die GPG Signatur ist da schon spannender. Dass jedoch auf der Webseite
> empfohlen wird dem Key "info <at> willuhn.de" einfach so ohne Prüfung zu
> vertrauen ist jedoch ein extrem schlechter Rat.
> 
> Der Schlüssel hat auch keinerlei Signatur bekannter Stellen. Eine
> Signatur der c't-Kryptokampagne oder nur eines Debian-Mitarbeiters zum
> Beispiel hätte Gewicht. Die vier Unterschriften des Keys sind alle in
> der Richtung auch nicht sehr ergiebig... 8-/

Im Prinzip: ACK.

Aber: Was würde das nützen? Auch in dem Fall gilt - bei einem Einbruch
auf dem Server ist die ganze Sicherheit dahin. Wenn ich der Einbrecher
wäre, würde ich ein modifiziertes Hibiscus-Archiv hochladen, das mit
(Continue reading)


Gmane