Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Codesignatur

Wie nützlich ist Client-Side Hashing bei der Code-Signierung für Sie?

Geschrieben vonManimit Haldar 05 Minuten
Hashing-Algorithmus
Inhaltsverzeichnis

Lassen Sie uns definieren Codesignatur kurz.

Code Signing ist eine Methode, Dateien, Dokumente, Software oder ausführbare Dateien digital zu signieren, um deren Authentizität und Echtheit hinsichtlich der bereitgestellten Funktionen und Features zu prüfen. Dadurch wird auch sichergestellt, dass die Softwareeinheit (Datei, Dokument, Software oder ausführbare Datei) während der Übertragung nicht manipuliert wird.

Die Code-Signierung kann auf zwei Arten implementiert werden: clientseitige Signierung und serverseitige Signierung.

Beide erwähnten Code-Signierungsmethoden, die beliebt waren, bis der Angriff auf SolarWinds ins Rampenlicht geriet, und posteten, dass die clientseitige Signierung in aller Munde sei, da hierfür kein Hochladen/Verschieben der Signaturdateien erforderlich sei und somit Angriffe verhindert würden, bei denen im Rahmen der ursprünglichen Datei-/Entitätssignierung auch Schadcode signiert würde.

Es ist an der Zeit, zunächst die Hash-Funktion zu verstehen:

Der Hash-Algorithmus ist die kryptografische Funktion, die aus einer gegebenen Eingabe beliebiger Größe eine Ausgabe mit fester Länge, den sogenannten Digest oder Hash-Wert, generiert. Die Hash-Funktion hat die Eigenschaft, eine eindeutige und unidirektionale/nicht umkehrbare Ausgabe zu generieren. Das bedeutet, dass wir durch eine umgekehrte Hash-Operation nicht zum ursprünglichen Eingabewert gelangen können.

Schauen wir uns ein Beispiel für einen Hashing-Algorithmus mit einer einfachen Hash-Funktion an:

SHA 256 bearbeitet

Im obigen Beispiel wird eine kryptografische Hashfunktion SHA-256 gezeigt, die die beliebigen Daten in einen 256-Bit-Hashwert mit fester Größe umwandelt.

Lassen Sie uns nun die serverseitige Code-Signierung im Detail verstehen.

Beim Signieren des Codes oder einer ausführbaren Datei im serverseitigen Signierungsverfahren werden die folgenden Schritte ausgeführt:

  1. Es wird ein eindeutiges Schlüsselpaar generiert und basierend auf diesem Schlüsselpaar ein CSR (Anforderung zur Zertifikatsignierung) wird von einem Anforderer/Entwickler generiert.
  2. Der CSR wird gesendet an CA (Zertifizierungsstelle) mit einer Code-Signaturvorlage.
  3. Die CA stellt das Zertifikat nach der Validierung aus und gibt das Codesignaturzertifikat mit dem öffentlichen Schlüssel an den Anforderer zurück.
  4. Der zu signierende Code/die ausführbare Datei wird vom Anforderer auf den Code Signing-Server hochgeladen.
  5. Sobald der Code/die ausführbare Datei hochgeladen ist, wird der Hashwert des Codes/der ausführbaren Datei mithilfe einer kryptografischen Hashfunktion berechnet. Da dieser Hashwert auf der Serverseite berechnet wird, kommt der Name „Serverseitiges Hashing“.
  6. Der berechnete Hashwert wird mit dem entsprechenden privaten Schlüssel signiert, der dem Anforderer ausgestellt wurde, und ergibt die digitale Signatur.
  7. Die digitale Signatur, das Code Signing-Zertifikat und die Hash-Funktionsinformationen werden nun zu einem Signaturblock zusammengefasst und in die Software eingefügt, die an den Empfänger/Verbraucher gesendet wird.
  8. Wenn der Code/die ausführbare Datei empfangen wird, überprüft der Computer des Verbrauchers zunächst die Authentizität des Codesignaturzertifikats.
  9. Sobald die Authentizität bestätigt ist, wird der Digest mit dem öffentlichen Schlüssel des erstellten Schlüsselpaars entschlüsselt.
  10. Die Hash-Funktion wird auf den Code/die ausführbare Datei angewendet, um den Digest zu berechnen.
  11. Der resultierende Digest wird mit dem vom Anforderer gesendeten Digest verglichen. Wenn die Digests übereinstimmen, kann die Software sicher installiert werden.

Enterprise Code-Signing-Lösung

Holen Sie sich mit unserer Code-Signing-Lösung eine Lösung für alle Ihre kryptografischen Software-Code-Signing-Anforderungen.

Demo buchen

Lassen Sie uns die clientseitige Signierung im Detail verstehen.

Beim Signieren des Codes oder einer ausführbaren Datei im clientseitigen Signaturverfahren werden die folgenden Schritte ausgeführt:

  1. Es wird ein eindeutiges Schlüsselpaar generiert und basierend auf diesem Schlüsselpaar wird von einem Antragsteller/Entwickler ein CSR (Certificate Signing Request) generiert.
  2. Der CSR wird mit einer Code-Signaturvorlage an die CA (Zertifizierungsstelle) gesendet.
  3. Die CA stellt das Zertifikat nach der Validierung aus und gibt das Codesignaturzertifikat mit dem öffentlichen Schlüssel an den Anforderer zurück.
  4. Der Hashwert des Codes/der ausführbaren Datei wird mithilfe einer kryptografischen Hashfunktion auf der Clientseite selbst berechnet. Da dieser Hashwert auf der Clientseite berechnet wird, kommt der Name „Clientseitiges Hashing“.
  5. Nur der Hashwert, d. h. die Zusammenfassung des zu signierenden Codes/der ausführbaren Datei, wird vom Anforderer auf den Code-Signaturserver hochgeladen.
  6. Der berechnete Hashwert wird mit dem entsprechenden privaten Schlüssel signiert, der dem Anforderer ausgestellt wurde, und ergibt die digitale Signatur.
  7. Die Informationen zur digitalen Signatur und Hashfunktion werden an den Client zurückgesendet.
  8. Die digitale Signatur, das Code Signing-Zertifikat und die Hash-Funktionsinformationen werden nun in einem Signaturblock zusammengefasst und auf der Anforderer-/Entwicklerseite in die Software eingefügt.
  9. Wenn der Code/die ausführbare Datei beim Verbraucher ankommt, überprüft der Computer des Verbrauchers zunächst die Authentizität des Codesignaturzertifikats.
  10. Sobald die Authentizität bestätigt ist, wird der Digest mit dem öffentlichen Schlüssel des erstellten Schlüsselpaars entschlüsselt.
  11. Die Hash-Funktion wird auf den Code/die ausführbare Datei angewendet, um den Digest zu berechnen.
  12. Der resultierende Digest wird mit dem vom Anforderer gesendeten Digest verglichen. Wenn die Digests übereinstimmen, kann die Software sicher installiert werden.

Fazit

Codesignatur ist zu einer wesentlichen Anforderung für Softwareentwickler geworden. Der Grund dafür ist, dass Code Signing das Vertrauen der Benutzer stärkt und sie die Software ohne Bedenken installieren können. Obwohl beide Code-Signing-Methoden in der Branche bisher verwendet werden, hat der Angriff von SolarWinds die Code-Signing-Landschaft in der Branche stark verändert. Heute ist die clientseitige Signierung die bevorzugte Wahl, da sie erhebliche Vorteile bei der Remote-Erstellung digitaler Signaturen bietet, den Bandbreitenbedarf durch den reinen Hash-Wert-Upload reduziert und Angriffe durch bösartigen Code verhindert, da keine Codedateien innerhalb der Umgebung verschoben werden.

Ressourcen: www.encryptionconsulting.com/education-center/what-is-code-signing/

Entdecken Sie unsere

Verwandte Blogs

Bedeutung der Firmware-Signierung

Bootloader-Vertrauen: Die entscheidende Rolle der Firmware-Signatur

5. Juni 2026
Integration von Post-Quanten-Kryptographie in Codesignatur-Workflows

Integration von Post-Quanten-Kryptographie in Codesignatur-Workflows

2. Juni 2026
Integrieren Sie CodeSign Secure in Ihre CircleCI-Pipeline

So integrieren Sie CodeSign Secure in Ihre CircleCI-Pipeline

May 13, 2026

Entdecken

Weitere Themen