Login
Newsletter
Werbung

Mo, 15. Januar 2018, 13:51

Software::Entwicklung

Paketsignatur für Node.js vorgestellt

Nachdem es offiziell immer noch keine Paketsignaturen für Node.js-Pakete existiert, ist der Spieleentwickler Redpoint jetzt vorgeprescht und hat das Werkzeug pkgsign vorgestellt.

Joyent

Hunderttausende von Paketen für node.js lagern mittlerweile auf npmjs.com und warten darauf, von Entwicklern mit dem Kommando npm (Node.js Package Manager) heruntergeladen und installiert zu werden. Typische Software, die auf Node.js beruht, hängt von hundert oder mehreren hundert Paketen ab, und keines davon ist signiert und selbst wenn eine Signatur vorhanden ist, wird sie von npm nicht geprüft. Der einzige Schutz vor Manipulationen ist die verschlüsselte Übertragung von npmjs.com über HTTPS.

Dass dies nicht ausreicht, wurde laut Redpoint erst letzte Woche wieder deutlich, als mehrere häufig genutzte Pakete plötzlich verschwanden und kurz darauf neun Pakete unter identischen Namen neu publiziert wurden. Zumindest eines davon tat etwas ganz anderes als zuvor, und ob dieses Paket oder eines der anderen Schadcode enthält, ist aufgrund des minimierten und unleserlichen Javascript-Codes kaum feststellbar.

Während die Möglichkeit von Paketsignaturen in Node.js bereits diskutiert wurde, hat sich bisher von offizieller Seite nichts getan. Daher entwickelte Redpoint in aller Eile das Programm pkgsign, das keybase.io und PGP-Schlüssel verwendet, um Pakete zu signieren und Signaturen zu verifizieren.

Wie die Entwickler schreiben, erstellt pkgsign eine Liste der in einem Paket enthaltenen Dateien und eine kryptografische Prüfsumme jeder Datei und signiert die kombinierte Liste von Dateien und Prüfsummen mit dem privaten Schlüssel des Entwicklers. Beim Verifizieren der Signatur müssen im Paket genau die angegebenen Dateien vorhanden sein, keine mehr und keine weniger, und die Prüfsummen müssen übereinstimmen.

pkgsign ist noch nicht lange in Benutzung und könnte daher noch Fehler aufweisen. Das Programm steht unter der MIT-Lizenz und ist auf Github zu finden. Damit die Verifikation von Paketen automatisch immer durchgeführt wird, müsste aber pkgsign oder ein ähnlicher Mechanismus in npm eingebaut werden. Zugleich müssten die Entwickler beginnen, ihre Pakete mit pkgsign zu signieren.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung