Follow

Lese ich das gerade richtig, dass auf Macs ab 'Big Sur' Programme nur noch gestartet werden können, wenn der Apple-Signaturprüfdienst dies genehmigt?!
gnulinux.ch/es-gehoert-nicht-d

· · Web · 4 · 4 · 6

@fluxx das ist diese sagen umwobene 🙄
IT- Sec. geht anders und baut auf trustles auf mMn, doch dies ist eine Instanz die vorschreibt was du zu nutzen hast und was nicht.
Da der Cashflow bei Mac stimmen muss, werden sehr wahrscheinlich hauptsächlich Kommerzielle Software durchgewunken die einen Obolus an Apple für ihre "Dienste" abdrücken müssen. auf Digital und wird es bekanntlich dabei schwer haben.

@kubikpixel Ja, das klingt ein wenig danach, als wollen sie den selben Weg gehen, den sie mit und dem schon eingeschlagen haben: Anwendungen kaufen für Apple-Produkte geht nur noch über Bezahldienste von Apple. Inkl. 30% Provision für Apple versteht sich.

@fluxx Nein, natürlich nicht. Du kannst das deaktivieren oder Zeug selbst signieren.

@ytvwld Ich verstehe halt nicht ganz, warum man das a) nicht einfach lokal auf dem Rechner machen können soll und b) warum das nicht bei der Installation/Update der Anwendungen passiert, sondern beim Starten von Anwendungen...

Bei gibt's das Feature ja unter dem Deckmantel der Schadsoftwareerkennung ja auch: sendet bei jedem Programmstart einen Hash des Programms an Microsoft.

@fluxx Was heißt hier Deckmantel? Dateien auf dem Gerät können sich zu jedem Zeitpunkt ändern, von daher macht es Sinn, das bei der Ausführung zu machen.

Und Zertifikate können ja jederzeit revoked werden.

@ytvwld Jein. Die Integrität von Daten auf der Festplatte kann man auch anders sichern als über eine erneute Signaturprüfung über das Internet. Und ja, Zertifikate können revoked werden, aber das hätte man z.B. mit einfachen CRLs deutlich datensparsamer hinbekommen können. Gerade weil sich Apple Datenschutz so sehr auf die Fahne geschrieben hat und auch bisher schon gezeigt hat, dass sie Ahnung von Crypto haben, hätte ich ihnen das eigentlich zugetraut und auch ein bisschen erwartet.

@fluxx CRLs wurden aber doch im allgemeinen Gebrauch durch OCSP ersetzt. Das ist doch das, was Apple macht, oder?

@ytvwld Im TLS-Kontext gibt es dafür OCSP Stapling.

@fluxx ja, und OCSP hat ja wirklich das Latenzproblem.
Aber wenn ich lokale Anwendungen starte habe ich ja keine Verbindung zum Computer.
CRLs wären vllt. wirklich sinnvoller, das skaliert halt leider nicht so gut.
Andererseits: Wie oft werden Zertifikate für Desktop-Anwendungen revokt?

@fluxx yes, hatten da ziemlich Probleme mit z.b. mumble bei einigen Menschen. Aber afaik konnte man da extrem kompliziert irgendwie eine Ausnahme für einrichten. Hat aber bestimmt ne halbe Stunde gedauert, bis das geklappt hat

@karoshi Hmja, wir steuern da auf die selben Freiheitseinschränkugen wie bei und zu...

@fluxx nein.

1. Apple macht nur für die offiziellen Entwickler-Zertifikate (die direkt von Apple stammen) OCSP. Programme können aber genauso mit anderen Zertifikaten signiert werden

2. Auf Intel-Macs können Programme auch ganz ohne Zertifikat laufen.

3. Der standard macOS linker generiert beim build aktuell schon automatisch ein temporäres Zertifikat und nutzt dieses zum signieren

@pajowu In dem Artikel klingt das so, als sei die OSCP-Prüfung jetzt verpflichtend für alle. Insgesamt sehe ich da ein ziemliches Privacy-Problem, wenn bei jedem App-Start OSCP gemacht wird.

@fluxx nur für apple-Zertifikate ist es verpflichtend.

Privacy-Problem stimme ich dir zum Teil zu, aber es wird zumindest gecached.

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community