Wozu braucht man Zertifikate?

#1 Hallo an alle

Ich habe mir ein Programm gekauft, dass es mir ermöglicht Mehrfinger-Gesten für mein Touchpad zu konfigurieren.

Nun musste ich 5 Euro mit Paypal überweisen und als ich das Programm starten will, kommt die Nachricht:
"Eine Referenzauswertung wurde vom Server zurückgesendet". Und danach passiert nichts.

In der Faq ( http://www.multiswipe.com/faq ) steht, dass ich deren Zertifikat zu "Trusted Root Certification Authorities" hinzufügen soll. Aber warum?!

Soweit ich weiß benötigt man Zertifikate für Sachen bezüglich Internet aber nicht für ein Touchpad Programm?

Ich habe ihnen eine Mail geschrieben und gefragt, warum ich das machen soll, die Antwort kam am nächsten Tag:

Zitat

Hey ***, thank you for purchasing MultiSwipe, in order to make MultiSwipe work properly in Windows it needs to be signed by a trusted source because it controls some aspects of the UI, it can minimize and maximize windows as well as changing Windows, basically any shortcut involving the "Windows key" needs really high privileges, and the reason why you should add the certificate yourself is because purchasing a certificate from a big company is very expensive and MultiSwipe hasn't reached enough profit to purchase it, but as soon as this changes a certificate will be purchased to make the process a little easier, you can rest assured MultiSwipe only does what it is meant to do, you can run it through any antivirus software and it wont raise any alarms, if you have any other questions or comments please contact us.

Lügen die mich an?

Ich hoffe ihr könnt mir helfen

PS. So sieht der VirusTotal Log von der .exe aus: https://www.virustotal.com/de/file/04bce76f119144042a2779bc8324f52abb5fa98f397f34d12f3da70e03d9e9ee/analysis/

#2 Zertifikate sind nicht nur für "Internet Dinge", sondern werden vielfältig genutzt, um die Urheberschaft nachzuweisen. In neueren Windows-Versionen werden bspw. Gerätetreiber und bestimmte Software, die tiefer ins System eingreift, nur dann installiert (zumindest ohne Fehlermeldung/Warnung), wenn sie eine digitale Signatur hat. Solche Signaturen bekommt man aber nicht einfach so, sondern man muss ordentlich Kohle latzen.

Die Alternative dazu ist natürlich, selbst ein Zertifikat herauszugeben, welches die digitale Signatur der Software bestätigt. Da sowas aber nicht automatisch im System installiert werden kann (das wäre ja auch schön blöd, wenn man die Sicherheitsmechanismen einfach so aushebeln könnte), muss der Anwender dann das entsprechende Zertifikat selbst installieren. Ob man dem jetzt vertraut oder nicht, bleibt jedem selbst überlassen. Immerhin hast Du die Software dort gekauft, also hast Du der Firma schon ein grundsätzliches Vertrauen ausgesprochen. Wenn Du es Dir jetzt doch anders überlegst, sind die 5$ weg.

Um Deine Frage nach meiner kurzen Erklärung zu beantworten: Nein, die lügen Dich nicht an.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Gool, hab wirklich vielen vielen lieben Dank!

Du hast mir nicht nur die Frage mit Ja oder Nein beantwortet, sondern eine super Erklärung gegeben.

Meine letzte Frage ist nun, was könnten die im schlimmsten Fall nun machen?

Du hattest ja gesagt, dass Software die tiefer ins System eingreift eine digitale Signatur benötigt.
Okay das bedeutet, dass die Software nun alles mit meinem System machen kann, oder?

Sind "Internet Dinge" wie Banking jetzt auch gefährdet?

Beste Grüße und nochmal danke für die tolle Antwort

#4 Im schlimmsten Fall kann jeder alles. Die Frage ist also nicht einfach zu beantworten und die Antworten könnten eine übertriebene Paranoia verursachen. Also grundsätzlich kann jede Software, die Du Dir installierst, schlimme Dinge anstellen. Es gibt Methoden, die Sicherheitseinstellungen zu umgehen und Zertifikate zu installieren oder die vom System vorgegebene Notwendigkeit von signierten Treibern auszuhebeln. Insbesondere letzteres hast Du bei Rootkits. Wenn der Hersteller von Multiswipe nun genügend kriminelle Energie besitzt, dann kann er jetzt einfacher ein Rootkit installieren und erlangt somit volle Kontrolle über Deinen PC. Da hilft dann auch kein Virenscanner mehr. Alles, was Du machst, könnte kompromittiert werden. Alle Informationen, die an Deinem PC angezeigt werden, könnten gefälscht werden. So könnte man Dich glauben lassen, dass Du auf protecus.de gehst, in Wahrheit bist Du aber auf einem Server, den die betreiben. Die könnten den Kontostand Deines Bankkontos falsch anzeigen lassen oder Überweisungen, die Du ausführst, auf andere Konten umleiten. So mal als Beispiel
Das sind dann aber schon eher NSA-Methoden, die einem gezielten Angriff entsprechen. In der Regel werden Rootkits nach meinem Wissen von kriminellen Banden eher dafür verwendet, bequem (und am Virenscanner vorbei) irgendwelche 08/15-Schadsoftware aus dem Internet zu laden. Entweder um ein Botnetz für Spam oder DDoS bzw. andere Hacking-Angriffe aufzubauen, oder um irgendwelche Trojaner zu installieren, die sich auf Online-Banking, Identitätsdiebstahl und ähnliches konzentrieren.

Das wäre vermutlich das "Worst Case Scenario"

Schlimm genug wäre auch die Methode, dass die nun in der Lage sind, mit der Software, einem zukünftigen Update oder mit einer anderen Software, einen transparenten Proxy aufzubauen, der jede verschlüsselte Verbindung entschlüsselt und sie dann mit dem eigenen Zertifikat wieder verschlüsselt. Somit wäre für Deinen Browser und letztendlich augenscheinlich für Dich alles in Ordnung, obwohl es das nicht ist. Das kann man bei Unsicherheit aber relativ leicht nachprüfen, indem man sich die Zertifikatsinformationen der Webseite anschaut - bspw. bevor man sich einloggt. Steht zum Beispiel bei Facebook, dass die Identität der Webseite durch "DigiCert High Assurance CA-3" bestätigt ist, ist alles in Ordnung. Würde dort aber stehen, dass die Identität durch "Multiswipe" (oder wie auch immer das Zertifikat von denen heißt) bestätigt ist, dann ist das problematisch - außer Du erwartest das, weil Du einen Proxy-Dienst installiert hast

Tragisch wäre es, wenn der Private Key des Zertifikats in falsche Hände gerät. Was dann los ist, kannst Du mit dem Stichwort "Superfish" googeln. Aber kurze Zusammenfassung: jeder, der den Private Key hat, könnte nun seine Software (egal ob seriös oder Schadsoftware) damit signieren und sich somit relativ einfach Zugang zu Systemen verschaffen, auf denen das Zertifikat installiert ist.

Im Grunde kann natürlich auch jeder, der eine gültige Signatur von einem in Windows integrierten Zertifikat besitzt, das alles machen. Ich bin mir nicht sicher - vielleicht gab es sowas auch schon. Allerdings sind die Hürden hier recht hoch (Kosten und vermutlich regelmäßige Überprüfungen). Vor allem sind die meisten Zertifikate nutzungsabhängig - so kann man zwar Software signieren, aber nicht die Identität eines Remote-Computers (bspw. eines Webservers) bestätigen. Eine Übersicht über die installierten Zertifikate und deren Einsatzmöglichkeiten kannst Du Dir selbst beschaffen. Dazu öffnest Du certmgr.msc (wie in der FAQ von Multiswipe beschrieben) und klickst Dich durch die "Ordner" durch. In der Spalte "Beabsichtigte Zwecke" siehst Du, was Nutzer/Inhaber der jeweiligen Zertifikate alles dürfen. "Serverauthentifizierung" zum Beispiel darf HTTPS-Seiten bestätigen. "Verifizierung von Windows-Hardwaretreibern" darf Treiber installieren. "Codesignatur" darf Software signieren. "Clientauthentifizierung" darf den Rechner an einem Server bestätigen (quasi als Benutzername-Passwort-Ersatz). "Sichere E-Mail" darf S/MIME-Zertifikate zur E-Mail-Verschlüsselung bestätigen. Und so weiter...

Ich hoffe, Deine Fragen verständlich beantwortet zu haben. (Und ich hoffe, nichts wesentliches vergessen oder irgendwo eine Falschinformation reingesteckt zu haben.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser