Was kann daran scheitern, wenn die Mac-Codesignierung manipuliert wird?

Welche Belästigungen oder realen Probleme können auftreten, wenn die digitale Signatur einer Mac-Anwendung beschädigt wird?

Anwendungen auf einem Mac können digital signiert werden. Wenn die Signatur irgendwie beschädigt ist, weiß ich, dass einige Anwendungen dies bemerken. Aber ich weiß nicht, in welchem ​​Detail dies nur Ärgernis sein wird oder Dinge wirklich zerbrechen wird:

• Die OS X-Firewall ist möglicherweise nicht in der Lage, eine Ad-hoc-Signatur korrekt festzulegen. Eine wiederholte Aufforderung wird angezeigt, ob die Anwendung "[..]" eingehende Netzwerkverbindungen akzeptieren soll.

• Anwendungen, die von der Kindersicherung zugelassen werden, werden möglicherweise nicht mehr ausgeführt?

• Schlüsselbund Zugang könnte defekt sein?

• Einige sagen, Apple-Software-Updates könnten fehlschlagen. Wenn dies zutrifft, frage ich mich, ob dies tatsächlich von der Signatur der Codesignatur abhängt oder von einem nicht übereinstimmenden Hash für die gesamte Anwendung oder von Informationen aus Stücklistendateien verursacht wird .

Weitere Hintergrundinformationen finden Sie weiter unten.

Details zur Codesignatur können angezeigt werden mit:

codesign --display -vv /Applications/iTunes.app/ 

... was so etwas wie das Folgende ergeben würde (aber nicht vor Änderungen warnen würde ):

[..] CDHash=86828a2d631dbfd417600c458b740cdcd12b13e7 Signature size=4064 Authority=Software Signing Authority=Apple Code Signing Certification Authority Authority=Apple Root CA [..] 

Die Signatur kann mit folgendem geprüft werden:

codesign --verify -vv /Applications/iTunes.app/ 

Was würde ergeben:

/Applications/iTunes.app/: valid on disk /Applications/iTunes.app/: satisfies its Designated Requirement 

... oder (auch wenn Sie einfach eine zusätzliche Datei in den Ordner ./Contents/Resources einer Anwendung einfügen):

/Applications/iTunes.app/: a sealed resource is missing or invalid 

... oder (möglicherweise schlechter als die obige Meldung):

/Applications/iTunes.app/: code or signature modified 

Die Codesignierung geht auf OS 9 oder früher zurück, die aktuelle Implementierung wurde jedoch in 10.5 Leopard eingeführt. Ars Technica schreibt :

Die Codesignatur bindet eine kryptographisch überprüfbare Identität an eine Sammlung von Code und stellt sicher, dass Änderungen an diesem Code erkannt werden. Es werden keine Garantien über die beteiligten Parteien gegeben. Wenn Sie beispielsweise eine von Acme Inc. signierte Anwendung herunterladen, können Sie nichts beweisen, es sei denn, sie stammte von derselben Entität, die behauptete, Acme Inc. zu sein, als Sie das letzte Mal etwas von ihrer Website heruntergeladen hatten.

Dieses Beispiel zeigt die nützlichste Anwendung der Technologie aus Sicht des Verbrauchers. Beim heutigen Upgrade einer Mac OS X-Anwendung [in 10.4 Tiger, AvB] wird der Benutzer häufig aufgefordert, erneut zu überprüfen, ob diese Anwendung auf den Schlüsselbund zugreifen darf, um Benutzernamen und Kennwörter abzurufen. Dies scheint eine gute Sicherheitsfunktion zu sein, aber es ist wirklich alles, was Mac-Benutzer dazu bringt, jedes Mal blind auf "Always Allow" zu klicken. Und was ist der durchschnittliche Benutzer? Führen Sie die ausführbare Datei über einen Disassembler aus und überprüfen Sie manuell, ob der Code sicher ist.

Eine signierte Anwendung kann dagegen mathematisch nachweisen, dass es sich tatsächlich um eine neue Version derselben Anwendung desselben Herstellers handelt, für die Sie in der Vergangenheit Ihr Vertrauen ausgesprochen haben. Das Ergebnis ist ein Ende der Dialogfelder, in dem Sie aufgefordert werden, eine Auswahl zu bestätigen, deren Sicherheit Sie nicht in angemessener Weise überprüfen können.

Für die Firewall in 10.5 Leopard erklärt Apple :

Wenn Sie dieser Liste eine Anwendung hinzufügen, signiert Mac OS X die Anwendung digital (sofern noch nicht unterzeichnet). Wenn die Anwendung später geändert wird, werden Sie aufgefordert, eingehende Netzwerkverbindungen zuzulassen oder zu verbieten. Die meisten Anwendungen ändern sich nicht selbst. Dies ist eine Sicherheitsfunktion, die Sie über die Änderung informiert.

[..]

Alle Anwendungen, die nicht in der Liste enthalten sind und von einer zertifizierten Zertifizierungsstelle (zum Zweck der Codesignierung) digital signiert wurden, dürfen eingehende Verbindungen empfangen. Jede Apple-Anwendung in Leopard wurde von Apple signiert und darf eingehende Verbindungen empfangen. Wenn Sie eine digital signierte Anwendung ablehnen möchten, müssen Sie diese zunächst der Liste hinzufügen und diese dann explizit ablehnen.

In 10.6 Snow Leopard wird letzterer expliziter gemacht (und kann deaktiviert werden), als "Signierte Software den Empfang eingehender Verbindungen automatisch zulassen. Erlaubt Software, die von einer gültigen Zertifizierungsstelle signiert ist, Dienste bereitzustellen, auf die vom Netzwerk aus zugegriffen wird".

^{(In 10.6 wurden die 10.5.1-Optionen "Alle eingehenden Verbindungen zulassen", "Nur wesentliche Dienste zulassen" und "Zugriff für bestimmte Dienste und Anwendungen festlegen") in eine Auswahlmöglichkeit für "Alle eingehenden Verbindungen blockieren" oder eine Liste umgestaltet zulässige Anwendungen und Optionen "Signierte Software automatisch den Empfang eingehender Verbindungen zulassen" und "Stealth-Modus aktivieren ". Vor dem Update 10.5.1 wurde "Nur wichtige Dienste zulassen" eigentlich als "Alle eingehenden Verbindungen blockieren " bezeichnet.)}

Für (Apple-) Anwendungen, bei denen die ursprüngliche Signatur irgendwie beschädigt wurde, kann diese Ad-hoc-Signatur irgendwie nicht beibehalten werden, und es ist bekannt , dass sie Probleme mit configd, mDNSResponder und racoon verursacht hat.