[Gpg4win-devel] Sicherheit der Downloads von der Website http://www.gpg4win.de/

Tue Apr 20 12:53:01 CEST 2010

Am Mittwoch, 14. April 2010 14:23:01 schrieb CarstenC.Haucke at web.de:
> Hallo Entwickler-Team,

Hi Carsten,
[Emanuel hat Deine Email auf die Entwickler-Liste umgeleitet. Hier sprechen 
wir Englisch, deshalb antworte ich mal auf Englisch. Solltest Du Englisch 
nicht verstehen, dann schreib mir nochmals persönlich.]

> ich finde das Projekt GPG4win und insbesondere Eure Arbeit grandios und
> möchte mich als eifriger Nutzer von GPG4win dafür bei Euch bedanken. Sehr
> gut finde ich auch, dass Ihr die Möglichkeit gebt, die Integrität der
> Downloads anhand von Signaturen und Hash-Werten zu prüfen. Da können sich
> andere OpenSource-Projekte aber vor allem die meisten kommerziellen
> Anbieter noch eine ganz dicke Scheibe von abschneiden!

Thanks for the praise! You are welcome!
(Carsten likes our Gpg4win Initiative and our idea of using signatures and 
hash values for checking integrety. He sees still a security gap in the 
unsecure DNS to our webpage and recommends using https with a CAcert.org 
certificate.)

> Eine Sicherheits-Lücke gibt es aber n.m.M. aber dennoch, auf die ich Euch
> hiermit gern hinweisen möchte: Ihr vertraut als Basis der Downloads und
> damit auch der Überprüfungsprozesse auf das leider bislang nicht sichere
> Domain Name System: Der User gibt (bestenfalls) Eure URL ein oder folgt
> einem Link unbekannter Quelle und meint dann guten Glaubens, nach Download
> der Programme und der zugehörigen Prüfmerkmale von Eurer Website und
> Prüfung der Programm-Downloads mit den von der gleichen Site herunter
> geladenen Prüfsignaturen auf der sicheren Seite zu sein - kann sich dessen
> aber meiner Meinung nach nicht sicher sein, solange sich die Website nicht
> auch erfolgreich authenifiziert, z.B. durch eine entsprechendes
> SSL-Zertifikat.

It is true that a fake DNS attack might lead people to a rouge gpg4win.org
webpage and they will have a hard time time to discover this.

> Ohne die mit einem solchen Zertifikat entsprechend verbundene
> Betreiber-Information und der damit gesicherten Identität des Betreibers
> der Website kann der User durch seine - ggf. umgeleitete oder anderweitig
> manipulierte DNS-Abfrage bzw. die entsprechend(e) - gefakte - Antwort
> darauf im heute noch nicht sicheren DNS durchaus auf eine - zwar nur mit
> einigem Aufwand auch im DNS entsprechend erreichbar zu installierende, aber
> dennoch durchaus möglich(e) - gefakte Website geführt worden sein bzw.
> werden, auf der ihm dann ggf. neben gegenüber Euren
> Programm-Veröffentlichungen veränderten Programm-Dateien auch die zu den
> gegenüber den Originalen geänderten Programmen gehörigen anderen
> Prüfmerkmale angeboten werden.
>
> Euer vermutliches Gegenargument wird nun wohl sein: Aber da ist immer noch
> die OpenPG/GnuPG-Signatur (ID 0x1CE0C630), die nach Web-of-Trust-Ansatz von
> so vielen anderen unterschrieben - also Cross-signiert - wurde. Schon
> richtig, aber solange ich als User keinen - nein, nicht nur einen - sondern
> nach Vier-Augen-Prinzip nicht wenigstens zwei der Unterzeichner dieses
> SELFSIGNED ZERTIFICATE persönlich kenne und vertraue - bleibt diesem zu
> vertrauen immer noch ein Wagnis und Risiko. Da setze ich doch mein
> Vertrauen lieber in ein SSL-Zertifikat von einer nicht-kommerziellen, aber
> "öffentlichen" CA wie CAcert.
>
> Wie denkt Ihr darüber, Euch ein solches SSL-Zertifikat bei CAcert.org zu
> holen und auf dem Webserver einzusetzen. Positiver Nebeneffekt: Die
> Downloads könnten per HTTPS (SSL-verschlüsselt) erfolgen und die
> Prüfprozeduren könnten ggf. entfallen.

Using https would be only a small improvement because it is quite easy for a 
rouge website to also get a valid certificate. We plan to sign the installer 
so that windows will check the authentification of the .exe file directly.

Best,
Bernhard

-- 
Managing Director - Owner: www.intevation.net       (Free Software Company)
Deputy Coordinator Germany: fsfe.org. Board member: www.kolabsys.com.
Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998
Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part.
Url : http://lists.wald.intevation.org/pipermail/gpg4win-devel/attachments/20100420/4d66a90b/attachment.pgp