Schon seit einigen Jahren ist es technisch möglich, Programme „digital zu signieren“. Dabei kann Windows anzeigen, wer der offizielle Hersteller der vorliegenden Programmdatei ist und jeder kann sich davon überzeugen, dass das Programm beispielsweise wirklich von Microsoft, Adobe oder anderen Herstellern stammt und nicht nur so tut. Änderungen durch Viren oder die böswillige Modifizierung der Programmdatei können so erkannt werden. Hierfür muss sich der Hersteller bei einem sogenannten „Trust Center“ registrieren und kann dann die fertigen Dateien mit einem Zertifikat unterschreiben. Auf diese Art und Weise signierte Programme werden von Windows und vielen Antivirenprogrammen freundlicher behandelt als Unsignierte. In unserem Fall betrifft dies inbesondere die automatische Aktualisierungsroutine, die es seit Version 2.10 gibt, die durch das eingesetzte Verfahren dem Nachladen von Trojanern und anderen Schädlingen gleicht. Wenn die Programmdatei von Ambrosia nicht offiziell signiert ist, kann dies als möglicher Angriff vom Antivirusprogramm eingestuft und blockiert werden. Durchaus zu Recht.

Die entsprechende Meldung der Windows Benutzerkontensteuerung zeigt den Eigentümer des Zertifikates bei „Verifizierter Herausgeber“ an und, wenn ein gültiges Zertifikat gefunden wird, ist diese Meldung (in einem beruhigenden) Blau anstelle des warnenden Gelb. Ausserdem prüfen auch Antivirus-Systeme auf korrekt signierte Programme und behandeln diese bei der Analyse ihrer Aktivitäten weniger kritisch. Uns sind mit den unsignierten Ambrosia-Programmdateien Probleme mit Avira und BitDefender bekannt.

Leider war es uns bisher technisch nicht möglich, ein von Windows offiziell anerkanntes Zertifikat zu kaufen. Bis dies möglich ist, ist Ambrosia von einem privaten Zertifikat signiert. Damit dies aber von Windows anerkannt wird, muss vorher, um besagte Nebeneffekte zu verhindern, temporär dieses Zertifikat installiert werden. Sobald wir ein offizielles Zertifikat haben, kann dieses temporäre Zertifikat wieder entfernt werden. Im Folgenden ist beschrieben, wie dies funktioniert.

Installation des temporären Zertifikates

Damit die Signierung der aktuellen Ambrosia-Programme überprüft werden kann, muss das sogenannte öffentliche Herausgeber-Zertifikat korrekt installiert werden. Wir verwenden aktuell noch kein Zertifikat eines anerkannten „Trust Center“, dem Windows automatisch vertraut, deshalb braucht es die manuelle Installation. Dieses temporäre Zertifikat kann später genauso einfach deinstalliert werden wie es jetzt installiert wird, sobald wir das endgültige Zertifikat verwenden.

Zur Installation bitte wie folgt vorgehen:

• Die Zertifikatdatei hier herunterladen, beispielsweise auf das Desktop
• Auf der Datei einen Rechts-Klick machen und „Zertifikat Installieren“ auswählen
• Im dann erscheinenden Assistenten „Lokaler Computer“ auswählen und auf „Weiter“ drücken
• Die (blaue) Benutzerkontensteuerungswarnung bestätigen
• „Alle Zertifikate in folgendem Speicher“ auswählen und auf „Durchsuchen“ klicken
• In der nun erscheinenden Liste „Vertrauenswürdige Herausgeber“ auswählen und mit „OK“ bestätigen. Wichtig: Jede andere Auswahl führt nicht zum gewünschten Ergebnis!
• Auf „Weiter“ drücken und auf der Folgeseite auf „Fertig stellen“ klicken

Nach der Installation sollten alle Ambrosia-relevanten Nachfragen der Benutzerkontensteuerung als „Verifizierter Herausgeber“ als „Ambrosia Test Code Signing“ anzeigen und nicht mehr in gelb, sondern blau erscheinen. Das Zertifikat kann jederzeit durch Suche nach „Computerzertifikate verwalten“ in der Kategorie „Vertrauenswürdige Herausgeber“ wieder entfernt werden.