Neuverteilte Dateien signieren

8

Um eine Desktop-Anwendung für den Windows 8 App Store einzureichen, müssen Sie alle mit der Anwendung verknüpften Treiber oder EXE-Dateien digital signieren. Der Antrag, den ich einreichen wollte, enthält jedoch mehrere Dateien, die die Software anderer Unternehmen weitergeben, und einige davon sind nicht signiert. Mein Antrag wurde aus diesen Gründen abgelehnt. Ist es legal (oder ethisch), die Arbeit anderer Unternehmen zu unterzeichnen, damit wir unseren Antrag einreichen können? Ich denke, es könnte als eine Form der falschen Darstellung angesehen werden, aber ich bin mir nicht sicher.

legal ethics PixelArtDragon
quelle
3
Ich habe ähnliche Probleme mit mobilen Apps gesehen (für BlackBerry mussten Sie beispielsweise signierte Binärdateien verwenden, um auf einige APIs zuzugreifen). Und da war die Zusammenfassung im Grunde: Wenn Sie unterschreiben, bürgen Sie für die Binärdatei und übernehmen die Verantwortung dafür. Es ist also nicht so, dass du behauptest, es sei deine Binärdatei, du behauptest einfach, dass du dafür verantwortlich bist, wenn es ungezogenes Zeug macht ;-) Wie immer ist das kein Rechtsrat, yada yada ...
Joachim Sauer
Übrigens, wenn jemand der Meinung ist, dass diese Frage in einem anderen Abschnitt der Website angemessener ist, lassen Sie es mich bitte wissen.
PixelArtDragon
1
Ich würde die Ersteller der nicht signierten Dateien fragen, ob sie sie signieren lassen können. Wenn ihre Lizenz eine Weiterverteilung zulässt, verstehe ich nicht, warum sie dies nicht tun möchten, da ich wette, dass sich andere Benutzer ihrer Dateien an derselben Position wie Sie befinden. Wenn sie ihre Dateien aus irgendeinem Grund nicht signieren möchten, können Sie jederzeit fragen, ob es Ihnen etwas
ausmacht
1
Akzeptiert der Store Dateien mit unterschiedlichen Unterzeichnern? Oder muss alles gleich unterschrieben sein? Ich weiß zum Beispiel, dass in Java Web Start eine signierte App nur einen und nur einen Unterzeichner aller Dateien haben muss (alle von einem Dritten signierten Jars müssen zuerst abgemeldet und zurückgesetzt werden).
@MichaelT Sie suchen nur nach einer digitalen Signatur; wer ist egal Aus diesem Grund frage ich, ob mein Unternehmen unsere verwenden darf, um die App zu genehmigen.
PixelArtDragon

Antworten:

9

Ich kann diese Frage nur auf ethischer Basis beantworten . Ob sich mein ethischer Standpunkt im Gesetz widerspiegelt, liegt völlig außerhalb meines Fachgebiets. (Außerdem kenne ich die Vor- und Nachteile der Signaturpraktiken von Microsoft nicht. Korrigieren Sie mich daher bitte, wenn ich etwas sage, das nicht mit der Vorgehensweise von MS vereinbar ist.)

Angenommen, Sie signieren eine Datei F(mit Inhalten C) mit einem Signaturschlüssel K. Das resultierende Datei / Signatur-Paar [F, S(K,C)]lautet:

Der Eigentümer des Schlüssels Kbehauptet hiermit, dass die Datei FInhalt hat C.

Angenommen, Sie haben das Recht, die nicht signierten Dateien zu verteilen, dann haben Sie anscheinend auch das Standardrecht, sie mit einer Signatur zu verteilen. Eine Signatur ist eine rein programmatische kryptografische Transformation der Datei, die die obige Behauptung enthält. (Zu sagen, dass man etwas nicht kryptografisch signieren kann, ist ziemlich nahe daran zu behaupten, dass man keinen Hash davon produzieren darf.)

Ihre Unterschrift bestätigt nicht, dass Sie der Autor des Codes sind, sondern dass Sie ein Vertrauenspunkt in die Verbreitung des Codes sind. Das ist nicht irreführend; das ist nur eine vollkommen genaue Darstellung dessen, was passiert. Der Endempfänger muss entscheiden, ob er dem von Ihnen verteilten Code vertraut. Die Identität des ursprünglichen Autors ist für unser Vertrauensmodell nicht relevant, da Sie die letzte Person sind, die den Code berührt hat, bevor er an ihrem Computer angekommen ist.

Apsiller
quelle