Seit dem 1. Januar 2016 wurde von Microsoft über Windows Update eine Änderung in der Behandlung von signierten Executables eingeführt. Mit der Folge, dass für Downloads mancher älterer Dateien durch den Internet Explorer und Microsoft Edge missverständliche Warnungen ausgegeben werden.
Für Dateien, die mit dem Algorithmus SHA1 signiert wurden, deren Signatur aber keinen Zeitstempel oder einen solchen mit Datum nach dem 31.12.2015 enthält, wird die folgende Meldung für einen Download ausgegeben (hier am Beispiel der alten gpg4o-Version 3.4.1):
Der Hinweis im Browser ist in diesem Fall sehr irreführend, da auf eine angeblich defekte Signatur hingewiesen wird. Die Signatur ist jedoch tatsächlich nur veraltet, wird von Microsoft aber seit Anfang 2016 (nach Aktualisierung des Betriebssystems mit Windows Update) anders behandelt als zuvor.
Smartscreen-Warnungen
Bei aktivem „Smartscreen“-Schutz zeigen Windows 8, 8.1 und 10 gegebenenfalls nach Klick auf „Ausführen“ folgende Warnhinweise an:
Technische Details
Details zu den Änderungen in der Behandlung von Authenticode-Signaturen und Zeitstempeln hat Microsoft unter folgender Adresse veröffentlicht:
Windows Enforcement of Authenticode Code Signing and Timestamping
Manuelle Überprüfung der Signatur
Wenn Sie überprüfen möchten, ob eine Datei wirklich nicht oder nicht gültig signiert wurde oder aber nur eine alte Signatur enthält, ist dies auf einfache Art möglich. Navigieren Sie dazu nach einem Download und Anzeige der ersten Warnung zum Ordner, in dem die Datei gespeichert wurde (standardmäßig im „Downloads“-Ordner in Explorer, erreichbar auch durch Klick auf „Ordner öffnen“ im Downloads-Popup).
In der Dateiliste können Sie das Kontextmenü durch einen Rechtsklick auf die heruntergeladene Datei erreichen:
Nach Klick auf „Eigenschaften“ erhält man das folgende Fenster:
Unter „Digitale Signaturen“ kann die Signatur der Datei und das zugehörige Zertifikat eingesehen werden. Im Fall der alten gpg4o-Version 3.4.1 sieht dies dann so aus:
Nach Klick auf „Details“ werden weitere Informationen zur digitalen Signatur sichtbar. Zu beachten ist in dieser Ansicht, dass der Satz „Die digitale Signatur ist gültig.“ tatsächlich angezeigt wird.
Mit Klick auf „Zertifikat anzeigen“ lassen sich weitere Details des Zertifikats überprüfen.
Unter „Details“ findet sich auch (im unteren Bereich der Liste) der Fingerabdruck, der für bisher durch Giegerich & Partner signierte Dateien folgende Werte enthält:
99 e0 20 5e c5 73 0f bc a8 c7 e3 58 a4 82 c3 8c d0 bc 03 8f
Zukünftig: SHA256-Zertifikate und Signaturen mit SHA256-Algorithmus
Neu von Giegerich & Partner veröffentlichte Dateien werden ab sofort ein neues SHA256-Zertifkat verwenden, der Fingerabdruck wird dann folgende Werte enthalten:
1d 72 3a 5e c1 34 03 3a 6d c0 f9 0b dc 24 8b 9e 8b 3d 98 af
Für neue, unter Verwendung des SHA256-Algorithmus signierte und zeitgestempelte Dateien werden natürlich auch keine missverständlichen Warnungen erzeugt.
Kommentare