Paketsignatur
Was ist Paketsignatur?
PaketsignaturAnbringen einer kryptografischen Signatur an einem Softwarepaket, damit Konsumenten Veröffentlicher und Unversehrtheit des Artefakts überprüfen können.
Die Paketsignatur bindet ein Artefakt (Binary, Bibliothek, Container-Image, OS-Paket, Sprachmodul) an die kryptografische Identität des Veröffentlichers. Verifizierer prüfen vor Installation oder Ausführung die Signatur gegen den erwarteten Schlüssel, das Zertifikat oder den Eintrag in einem Transparenz-Log. Gängige Ökosysteme sind Sigstore Cosign für OCI-Images und Sprachpakete, GPG-signierte Linux-Pakete, Authenticode unter Windows, codesign unter macOS/iOS sowie Maven Central mit PGP. Moderne Praxis bevorzugt kurzlebige Schlüssel und OIDC-Identitäten (Sigstore) statt langlebiger Offline-Keys plus Transparenz-Logs (Rekor) für öffentliche Nachvollziehbarkeit. Paketsignatur ergänzt SBOMs, SLSA-Provenance und reproduzierbare Builds: Sie beantwortet "Wer hat geliefert und ist es intakt?", die anderen "Was steckt drin und wie wurde es gebaut?".
● Beispiele
- 01
Signieren von Release-Binaries mit Sigstore Cosign und Veröffentlichung in Rekor.
- 02
Verifizieren der Signaturen von Debian-Paketen über apt und den GPG-Schlüssel der Distribution.
● Häufige Fragen
Was ist Paketsignatur?
Anbringen einer kryptografischen Signatur an einem Softwarepaket, damit Konsumenten Veröffentlicher und Unversehrtheit des Artefakts überprüfen können. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Paketsignatur?
Anbringen einer kryptografischen Signatur an einem Softwarepaket, damit Konsumenten Veröffentlicher und Unversehrtheit des Artefakts überprüfen können.
Wie funktioniert Paketsignatur?
Die Paketsignatur bindet ein Artefakt (Binary, Bibliothek, Container-Image, OS-Paket, Sprachmodul) an die kryptografische Identität des Veröffentlichers. Verifizierer prüfen vor Installation oder Ausführung die Signatur gegen den erwarteten Schlüssel, das Zertifikat oder den Eintrag in einem Transparenz-Log. Gängige Ökosysteme sind Sigstore Cosign für OCI-Images und Sprachpakete, GPG-signierte Linux-Pakete, Authenticode unter Windows, codesign unter macOS/iOS sowie Maven Central mit PGP. Moderne Praxis bevorzugt kurzlebige Schlüssel und OIDC-Identitäten (Sigstore) statt langlebiger Offline-Keys plus Transparenz-Logs (Rekor) für öffentliche Nachvollziehbarkeit. Paketsignatur ergänzt SBOMs, SLSA-Provenance und reproduzierbare Builds: Sie beantwortet "Wer hat geliefert und ist es intakt?", die anderen "Was steckt drin und wie wurde es gebaut?".
Wie schützt man sich gegen Paketsignatur?
Schutzmaßnahmen gegen Paketsignatur kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Paketsignatur?
Übliche alternative Bezeichnungen: Code Signing, Artefakt-Signatur.
● Verwandte Begriffe
- appsec№ 226
Cosign
Open-Source-CLI des Sigstore-Projekts zum Signieren, Verifizieren und Attestieren von OCI-Artefakten und anderer Software, wahlweise mit Schlüssel oder keyless.
- appsec№ 1044
Sigstore
Open-Source-Projekt der Linux Foundation, das Signatur, Verifikation und Schutz von Software-Artefakten mittels kurzlebiger Schlüssel, OIDC-Identitäten und Transparenz-Log einfach macht.
- appsec№ 1069
Software-Supply-Chain-Sicherheit
Disziplin zum Schutz jedes Glieds der Software-Produktion - Quellcode, Abhängigkeiten, Build, Signatur, Distribution und Deployment - gegen Manipulation, bösartigen Code und Integritätsverlust.
- appsec№ 870
Provenance-Attestation
Signierte, maschinell verifizierbare Aussage darüber, wie ein Software-Artefakt entstanden ist - Quelle, Build-System, Parameter und Abhängigkeiten - damit Konsumenten dem Ursprung vertrauen können.
- cryptography№ 321
Digitale Signatur
Asymmetrisches kryptografisches Verfahren, das Authentizität, Integrität und Nichtabstreitbarkeit einer Nachricht oder eines Dokuments belegt.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: ein vom OpenSSF veröffentlichter stufenweiser Anforderungskatalog, der Erstellung, Signatur und Verifikation von Software gegen Lieferketten-Manipulation zunehmend härtet.