seit ein paar Tagen behauptet der Internet Explorer 11 nach Download der gpg4win-Installer, dass deren Signatur fehlerhaft oder ungültig ist. Die Lite-Version wird zudem von “Symantec Endpoint Protection 12” als hochgradig unsicher gemeldet, danch sogar als “WS.Reputation.1” in die Quarantäne verschoben.
Symantec kann das angeblich nicht reproduzieren.
Ich habe festgestellt, dass die IE-Meldung bei fast jedem dritten Download angezeigt wird (z.B. Daemon Tools uns sogar die Symantec Virensignaturen!!!). Ursächlich ist ein Windows-Update von diesem Jahr. Bei Windows 10 ist das KB3124262. Wird das wieder deinstalliert, unterbleiben die Signatur-Fehlermeldungen.
Ich kann das in der Firma unter Windows 7, 8.1 und 10 (x64) reproduzieren, privat nochmal Windows 10.
Kann das jemand bestätigen? Wenn nein, alle Sicherheits-Updates für Windows installiert?
wenn es bei so vielen Download passiert, dann scheint es ja ein Problem zu sein,
was allgemeiner ist.
Vielleicht lohnt es sich nach anderen Berichten zu suchen?
Ich könnte mir vorstellen, dass es mit der Signatur selbst zu tun hat,
wir möchten bald eine 2.3.1 herausgeben, welche mit einem anderen Algorithmus
signiert ist. Siehe auch http://wiki.gnupg.org/Gpg4win/Roadmap
Hast Du das Problem mit den Testversionen von 3 auch?
Ich habe bisher nichts zu diesem Problem im Netz gefunden.
Deshalb habe ich eine Technik-Redaktion darauf aufmerksam gemacht. Ob das ein Fehler im Update, oder von Microsoft so gewollt ist … es verunsichert auf jeden Fall.
Upon further analysis and investigation we have verified your submission and, as such, the detection(s) for the following file(s) will be removed from our products:
Filename: gpg4win-light-2.3.0.exe
MD5: 1FEB2D56ACB92CB1911A8F2252A3876B
SHA256: C0A4A915CE073ED8D9797AD3FC6258F70A944761675BE603113B86D8F9A16933
Result: Whitelisting for above file is taking effect from now on.
Eine Software-Firma hat mich darauf aufmerksam gemacht,
dass Windows jetzt in der Tat SHA1 als unsicher einstuft.
Wenn ich mich recht erinnere, war Mozilla hier sogar
Vorreiter, ist dann aber vorerst zurück gerudert.
Anpassung tut also Not. Bis dahin halt auf Chrome oder
Firefox ausweichen, bis die dann auch umstellen.
Das hat mich dazu gebracht nach zu schauen. Der offizielle Link ist wohl: http://aka.ms/sha1
Zertifikate mit SHA1 deren SHA1 Hash signiert ist werden wenn Sie nach dem 1.1.2016 ausgestellt wurden nicht mehr aktzeptiert. Das ist neu, ich bin mir ziemlich sicher das in der ankündigung von 2013 dies nur für Treiber galt. Für Generelle Installer sollte das erst 2017 gelten.
Für den Hash der über das Binary selbst berechnet wird und dann signiert wird gibt es derzeit keine Pläne MD5 oder SHA1 nicht mehr zu unterstützen. Da attacken auf die Binaries wohl nach Einschätzung von Microsoft unpraktikabel sind.
Trozdem, wird Gpg4win ab der nächsten Version die SHA2 Prüfsumme des Installers signieren auch wenn wir damit über System Policies hinausgehen.
Unser Zertifikat müssen wir in wenigen Monaten erneuern, dabei werden wir ein neues Zertifikat bekommen dessen, und dessen Kette, mit SHA2 Prüfsummen signiert sein werden.
Ich sehe für uns auch nicht das es besonderen Wert hat den Wechsel auf ein neues Zertifikat zu beschleunigen da es wenig die Sicherheit verbessert wenn “nur wir” ein SHA2 Zertifikat haben aber noch andere SHA1 Zertifikate auf dem System akzeptiert werden.
Urgh,… aber unabhängig davon scheint Microsoft in Edge und Internet Explorer etwas anders gemacht zu haben. Ich habe es gerade in einer Test VM ausprobiert und du hast Recht da wird eine Invalide signatur angezeigt. (Ich habe das erst für ein individuelleres Problem gehalten da ich bereits getestet hatte das Windows 10 unsere dateisignatur akzeptiert)
Toll Microsoft so verunsichert man seine Nutzer! Windows 10 zeigt mir eine gültige signaturprüfung (verified publisher) an aber Internet Explorer und Edge “invalid or corrupt”.
Das verhalten ist für mich absurd da die Signatur von Gpg4win-2.3.0 sogar noch 2015 erstellt wurde.
Bei unsignierten Dateien bietet Internet Explorer und Edge trozdem noch die Option zum ausführen der Datei an. Bei unseren signierten dateien aber nur “löschen”.
Ich installiere gerade noch neueste updates und suche nach informationen zu diesem Verhalten. Bisher finde ich nur Forenbeiträge und Nutzerkommentare und keine Aussagen von Microsoft.
Also danke für den Hinweis. Wir werden dann wohl gleich ein neues Zertifikat kaufen müssen.
