Verifizierung von Softwarepaketen anhand von Hashwerten oder digitalen Signaturen

[LY500.exe]

Hallo zusammen,

für meine Abschlussarbeit zum geprüften IT-Projektleiter (Operative Professional) habe ich ein Projekt ausgewählt, woran ich aktuell bei der Auswahl von passenden Produkten bin.

Zur Ausgangssituation:

Konkret geht es um eine Anforderung aus dem BSI IT-Grundschutz, nämlich das Sicherstellen der Integrität und Authentizität von Softwarepaketen.

Für die Verifizierung von Softwarepaketen gibt das BSI zwei Prüfmöglichkeiten vor:

1. Abgleich des Hashwertes des Softwarepaketes mit dem vorhandenen Hersteller Hashwert
2. Prüfung der Digitalen Signatur (hier wäre eine Datenbank notwendig mit hinterlegten vertrauenswürdigen Zertifikaten)

Selbstverständlich kann man die beiden Prüfungen schnell am PC manuell selbst durchführen, aber ich habe an eine automatisierte und zentrale Lösung gedacht, die solche Prüfungen durchführen.

Die zentrale Lösung zur Überprüfung von Softwarepaketen soll über Schnittstellen verfügen, sodass aus einem anderen Tool (wo die eigentliche Dokumentation von den Prüfungen durchgeführt wird) Parameter übergeben werden können, die für die Prüfung relevant sind, wie z.B. der Hersteller Hashwert und der Ablageort der Datei die zur Prüfung übergeben werden.

Daher zu meiner Frage: Gibt es hierfür zentrale Tools, die solche Prüfungen können? Antivirus Software kann diese Art von Verifizierung meines Wissens, sondern gleicht nur in deren DB ab, ob die Datei als gefährlich gemeldet wurde. Datenschleusen erkennen auch nur den Dateityp und cleanen manipulierte Dateien.

Wäre über euren Input sehr dankbar, auch über Anregungen wie man diesen Ansatz weiter verfolgen könnte.

Vielen Dank!

[charmanta]

Darfst Du denn bei einer laufenden Prüfung überhaupt externe Hilfe in Anspruch nehmen ??

vor 2 Stunden schrieb LY500.exe:

Gibt es hierfür zentrale Tools, die solche Prüfungen können?

Jo

[charmanta]

was Du suchst nennt sich "File Integrity Monitoring", FIM

Mit dem Suchbegriff findest Du fertige Lösungen, zb

https://www.dnsstuff.com/file-integrity-monitoring-software

Ansonsten ist das auch verhältnismässig einfach zu scripten, sofern Du unixoide Systeme einsetzen kannst

[LY500.exe]

vor einer Stunde schrieb charmanta:

Darfst Du denn bei einer laufenden Prüfung überhaupt externe Hilfe in Anspruch nehmen ??

Jo

Ja selbstverständlich  das Projekt ist ja noch in der Initiierung und das ich mich erkunde ist Teil der Recherche und ob am Ende evtl. ein Klassenkamerad mir ein Tipp gibt, jemand anderes evtl. so eine Frage schon hatte und ich in einen Forum nachlese oder du mir eine Empfehlung für die Software gibst, spielt doch keine Rolle, oder?  Schwerpunkt des Projekts bleibt immer noch das Umsetzen und die Leitung davon. Die Prüfung findet erst irgendwann Mitte 2021 statt, der Projektantrag noch überhaupt gar nicht abgeschickt.

Wäre dir total dankbar für den Namen der Software!

 

EDIT: Und sollte es keine Software geben, dann wird etwas eigenentwickelt. Das ist jetzt keine Prüfungsfrage, wo ich eure Antwort kopiere und damit beantworte sondern es geht um Recherche welches Tool von der Stange dafür geeignet wäre statt es selber zu entwickeln.

Bearbeitet 16. April 2020 von LY500.exe

[charmanta]

für welches Betriebssystem denn nun genau ?

[LY500.exe]

vor 15 Stunden schrieb charmanta:

für welches Betriebssystem denn nun genau ?

Bei der Auswahl des OS bin ich noch flexibel, da das Projekt noch nicht gestartet ist.