Hinweise zur Digitalen Signatur der Software von empiraAlle Programmdateien von QBX 2008 sind mit einer
digitalen Signatur versehen, dem sog. „Strong Name“. Diese verhindert das nachträgliche Verändern der Datei beispielsweise durch einen Computervirus und schützt so indirekt Ihren Computer. Zusätzlich sind die Programmdateien mit einem sog.
„Software Publisher Certifikate“ versehen, welches von der Firma VeriSign für empira Software GmbH ausgestellt wurde. Dieses Zertifikat ist ebenfalls eine digitale Signatur, die die empira Software GmbH als Herausgeber bzw. Hersteller der Programmdateien von QBX identifiziert. Dies Software-Hersteller Zertifikat bietet Anwendern zusätzliche Vorteile:
- Sie können sich den Hersteller der Dateien anzeigen lassen
- Ein Administrator kann das Ausführen von Programmen von empira mit Hilfe einer Sicherheitsrichtlinie (Policy) beispielsweise für das gesamte Intranet eines Krankenhauses erlauben, während es für andere Programme nicht erlaubt ist
- Es besteht auch die Möglichkeit Anwendern zu erlauben, Update von QBX durchzuführen, während Ihnen das installieren von sonstigen Updates nicht erlaubt ist
Wir wollten es den Administratoren möglichst einfach machen, QBX beispielsweise auf einem Server zu installieren. Durch das Zertifikat kann auf einfache Weise eine Sicherheitsrichtlinie angelegt werden die umgangssprachlich lautet: „Software von empira darf mit der Berechtigung FullTrust von einem Netzwerkserver des Intranets aus gestartet werden”.
Potentielle ProblemeObwohl digitale Signaturen und Software Publisher Zertifikate ausgereift und erprobt sind, kann es in seltenen Einzelfällen zu Problemen führen. Bei korrekt konfigurierten Computern bzw. Servern treten allerdings keine Probleme auf und sie brauchen den folgenden Text weder zu verstehen noch durchzulesen. Im Folgenden werden zwei der möglichen Probleme beschrieben.
Falsche NetzwerkkonfigurationUnser Software Publisher Zertifikat bestätigt die Echtheit der Software als Produkt der empira GmbH. Aber woher weiß das Betriebssystem, dass das Zertifikat seinerseits wirklich echt ist? Die empira Software GmbH hat das Zertifikat vom weltweit bekanntesten Trust-Center VeriSign erworben und so weiß Windows, das die Software wirklich von empira erstellt wurde. Hin und wieder fragt das Betriebssystem aber automatisch über das Internet bei VeriSign nach, ob das Zertifikat evtl. mittlerweile von empira zurückgezogen wurde. empira könnte das Zertifikat beispielsweise zurückziehen wollen, wenn jemand sich Zugang zu einem Computer bei empira verschafft und das Zertifikat entwendet hat und nun in der Lage ist, Software illegal mit dem Zertifikat von empira zu signieren. empira würde einen solchen Diebstahl an VerSign melden und VeriSign würde bei einer Nachfrage durch Windows das Zertifikat als zurückgezogen ausweisen und Windows würde damit die Software als nicht authentisch abweisen. Das ist natürlich alles ziemlich hypothetisch und in der Praxis eigentlich nicht von Belang. Der springende Punkt ist aber, dass Windows hin und wieder Verbindung mit VerSign aufnimmt, wenn QBX gestartet wird.
Das passiert alles automatisch und der Anwender bekommt davon normalerweise nichts mit. Die Verifizierung dauert im Allgemeinen nur Sekundenbruchteile und wird auch nur ca. einmal am Tag durchgeführt. Ist Ihr Rechner nicht mit dem Internet verbunden, wird auch nicht versucht die Echtheit zu bestätigen.
In seltenen Fällen kann es vorkommen, dass ein Rechner keine Verbindung mit dem Internet hat, jedoch so konfiguriert ist, als sei dies der Fall (Standard Gateway konfiguriert, aber kein Internetzugang). Dann versucht das Betriebssystem das Zertifikat zu prüfen, erhält jedoch keine Antwort vom Trust-Center, weil effektiv keine Internetverbindung besteht. Das ist an sich noch kein Problem, denn nach einer gewissen Wartezeit bricht das Betriebssystem den Versuch ab und lässt die Anwendung weiter laufen (denn die Echtheit kann es auch ohne Internetverbindung prüfen). Nun besteht QBX 2008 aber aus mehr als einem duzend Programmdateien (sog. Assemblies) und für jede einzelne wird versucht, das Zertifikat zu prüfen. Der Effekt ist eine Startzeit von QBX von einigen Minuten. Das Programm läuft dann einwandfrei, aber beim nächsten Start dauert es wieder die gleiche Zeit, weil Windows ja niemals eine Bestätigung erhält.
Dieses Phänomen trat mit QBX 2007 und QBX 2006 bei Windows 2000 häufiger auf als bei Windows XP oder Windows Vista. Sollte es trotzdem Probleme geben, müssen Sie die Konfiguration Ihres Computers in Ordnung bringen oder das Prüfen von Zertifikaten abschalten. Eine Version ohne Software Publisher Signatur wird von QBX 2008 nicht mehr angeboten.
Firewall meldet Zugriff ins Internet oder sperrt diesenEine Variante des oben beschriebenen Phänomens tritt auf, wenn die hausinterne Firewall das Betriebssystem daran hindert, das Zertifikat zu prüfen. Das kann so weit gehen, dass ein Administrator von der Firewall eine Meldung erhält, Ihr Rechner versuche eine unerlaubte Verbindung mit dem Internet herzustellen. Natürlich ist alles in Ordnung und eine Überprüfung des Protokolls in der Firewall kann das auch bestätigen, aber es kann schon zu einiger Verwirrung bei Administratoren führen.
empira ist mit QBX 2008 auf Zertifikate von VeriSign umgestiegen. Zwar sind diese Zertifikate technisch identisch mit denen von wesentlich billigeren Trust-Centern, aber Windows, viele Firewalls und auch Administratoren kennen eben VeriSign von Namen her und wir hoffen so auf weniger Nachfragen von Administratoren.
_________________
Freundliche Grüße
Ihr QBX-Helferlein
Zum Support-Bereich (hier klicken) mit Schulungsvideos und hilfreichen Word-Dokumenten