![](http://www.hostingundservice.de/wp-content/uploads/2010/10/chippick.png")
Haben Sie auch schon einmal ein Programm installiert und bekamen von Microsoft(r) Windows(tm) die Warnmeldung vorgelegt: “Dieses Programm nimmt Änderungen an Ihrem Computer vor. Wollen Sie dem Programm von Unbekannter Herausgeber vertrauen”?
Um Änderungen an bereits veröffentlichter Software zu verhindern und um sicherzustellen, daß eine Software auch wirklich von einem bestimmten Hersteller stammt, werden schon seit langer Zeit Codesignaturen verwendet. Diese Technik arbeitet mit der als sehr sicher geltenden Technik der öffentlichen/privaten Schlüsselpaare. Ein Programmierer erstellt ein Programm und erhält eine ausführbare Datei, die dann mit dem privaten Schlüssel signiert wird d.h. es wird eine Prüfsumme berechnet und verschlüsselt in der Datei selber abgelegt. Windows berechnet dann noch vor dem Programmstart die Prüfsumme erneut, entschlüsselt die gespeicherte Prüfsumme mit Hilfe des öffentlichen Schlüssels und vergleicht die beiden Daten: Sind sie identisch, kann mit absoluter Sicherheit davon ausgegangen werden, daß das Programm wirklich vom registrierten Autor stammt und niemand daran “herumgefummelt” hat, z.B. um einen Virus “huckepack” einzuspielen.
Codesignaturen sind schon seit etlichen Jahren in Gebrauch. Leider verhindern aber einige Problemchen den Hausgebrauch. Da wäre zunächst einmal die Komplexität der Schlüsselerzeugung und, was viel schlimmer ist, der Preis eines solchen Zerifikats. Für zwei Jahre schlägt ein solches Zertifikat bei der bekannten Firma Verisign beispielsweise mit US$ 895 zu Buche! Da erscheint der Werbespruch: “Sparen Sie $100!” auf derselben Seite wie Hohn. Wers nicht glaubt, schaue bitte selber: http://www.verisign.com/code-signing/microsoft-authenticode/index.html
Frage: Warum sind die Dinger so teuer?
Antwort: Keine Ahnung!
Die Firmen müssen die Betriebssystemhersteller davon überzeugen, ihren Root-CA-Schlüssel standardmäßig in ihren Betriebssystemen zu installieren. Ist das erreicht, sind Zertifikate eine Lizenz zum Gelddrucken: Ein Zertifikat ist von einem handelsüblichen Computer in unter 2 Sekunden erstellbar. Der Vorgang kann komplett automatisiert werden, die dafür nötige Software ist kostenlos.
Fakt ist, daß Hobbyprogrammierer keine US$ 895,- übrig haben, bzw. nicht übrig haben wollen, weil sie mit ihrem Geld doch bessere Dinge anfangen können. Hier springt das israelische Unternehmen StartCOM in die Bresche!
StartCOM hat erkannt, daß der Aufwand bei der Erstellung von Zertifikaten nicht die Zertifikate selber, sondern vielmehr die Überprüfung der Personen, die ein Zertifikat besitzen wollen, ausmacht. Würde solch eine Überprüfung nicht stattfinden, könnten die Verbrecher und Virenprogrammierer ja einfach selber ein Zertifikat kaufen und damit alle Prüfungen umgehen, indem sie es einfach unter einem Phantasienamen bestellen und somit jeglicher Haftung aus dem Weg gehen.
Dementsprechend kostet eine Überprüfung Ihrer Identität bei StartCOM auch nur US$ 49,- was laut dem Unternehmen ausreicht, Ihre Identität mit einem Anruf zu überprüfen. Haben Sie diesen Anruf hinter sich gebracht und StartCOM davon überzeugt, daß Sie… nunja, Sie sind, dann können Sie bequem über das Webinterface ein eigenes Zertifikat erstellen, welches dann zwei Jahre lang gültig ist. Dieses Zertifikat kann dann mit Microsofts Signtool.exe unbeschränkt verwendet werden. Eine Ersparnis von US$849,- durch das “StartSSL” Programm.