Was ist Code Signing?

Topics DevSecOps Code Signing

Definition

Code Signing ist ein kryptografisches Verfahren, bei dem eine digitale Signatur verwendet wird, um die Herkunft und Integrität eines Software-Artefakts zu bestätigen. Es stellt sicher, dass der Code nicht verändert wurde, und ermöglicht Systemen, den Herausgeber zu verifizieren. Mit Zertifikaten von vertrauenswürdigen Certificate Authorities (CAs) unterstützt Code Signing sowohl die Sicherheit als auch die regulatorische Compliance in verschiedenen Deployment-Umgebungen.

Überblick über Code Signing

Code Signing schützt Software, indem es deren Herkunft und Integrität überprüft, bevor sie beim Endnutzer ankommt. Angesichts der Zunahme von Angriffen auf die Software-Lieferkette hilft das Signieren von Code mit einer kryptografischen Signatur, Manipulationen und Identitätsdiebstahl zu verhindern. Es schafft Vertrauen, blockiert nicht autorisierte Software und ist ein unverzichtbarer Bestandteil moderner Entwicklungs- und Distributionspipelines.

Vorteile von Code Signing

Die wichtigsten Vorteile des Code Signings sind:

Integrität und Authentizität sicherstellen: Unsignierter oder veränderter Code wird von modernen Betriebssystemen wie Windows und macOS häufig blockiert oder löst Warnmeldungen aus.

Vertrauen bei Nutzern aufbauen: Signierte Software vermeidet Warnhinweise und sorgt für einen reibungslosen Installationsprozess – besonders wichtig in Unternehmensumgebungen und bei mobilen Apps.

Schutz vor Malware: Code Signing schützt vor Angriffen auf die Lieferkette, indem Manipulation erkannt und die Ausführung nicht autorisierten Codes verhindert wird.

Wie Code Signing funktioniert

Code Signing umfasst eine Reihe kryptografischer Schritte, die die Identität des Softwareherausgebers verifizieren und die Integrität des Codes sicherstellen. Der Prozess lässt sich in drei Hauptphasen unterteilen: Zertifikatserstellung, Signierung des Codes und Verifikation zur Laufzeit.

Ein Zertifikat erstellen

Der Prozess beginnt damit, dass ein Entwickler oder ein Unternehmen ein Code Signing-Zertifikat bei einer vertrauenswürdigen Certificate Authority (CA) beantragt, die die Identität des Antragstellers überprüft. Nach erfolgreicher Prüfung stellt die CA ein digitales Zertifikat aus, das den Namen der Organisation, den öffentlichen Schlüssel und weitere Metadaten enthält. Parallel dazu generiert der Entwickler ein Schlüsselpaar (privat/öffentlich), wobei der private Schlüssel sicher aufbewahrt und der öffentliche Schlüssel in das Zertifikat eingebettet wird.

Signierung und Verfikation

  1. Hashing des Codes: Vor dem Signieren wird ein kryptografischer Hash (z. B. SHA-256) der Softwaredatei erzeugt. Dieser Hash fungiert als eindeutiger Fingerabdruck des Datei-Inhalts.
  2. Erstellen der digitalen Signatur: Der Hash wird mit dem privaten Schlüssel des Entwicklers verschlüsselt und so in eine digitale Signatur umgewandelt. Dadurch wird sichergestellt, dass jede nachträgliche Änderung an der Datei zu einem Hash-Mismatch führt.
  3. Anhängen von Zertifikat und Signatur: Die digitale Signatur und das Code Signing-Zertifikat werden in das Softwarepaket eingebettet. Optional kann auch ein Zeitstempel hinzugefügt werden, der den Zeitpunkt der Signierung belegt.
  4. Verifikation zur Laufzeit: Beim Start oder bei der Installation der signierten Software nutzt das Betriebssystem oder die Plattform den öffentlichen Schlüssel (aus dem Zertifikat), um die Signatur zu entschlüsseln und den Hash der Datei neu zu berechnen. Stimmen die Hash-Werte überein, ist sichergestellt, dass die Datei unverändert ist und vom verifizierten Herausgeber stammt.

Dieser Prozess stellt sicher, dass manipulierte oder nicht verifizierte Software nicht ausgeführt werden kann, ohne Sicherheitswarnungen auszulösen oder vollständig blockiert zu werden.

Kryptografische Standards

Mehrere branchenübliche Algorithmen und Formate unterstützen den Code Signing-Prozess:

  • SHA-256: Eine weit verbreitete kryptografische Hash-Funktion, die aus dem Code einen Hash mit fester Länge erzeugt. Sie ist kollisionsresistent und trägt wesentlich zur Sicherstellung der Datenintegrität bei.
  • RSA / ECDSA: Public-Key-Algorithmen, die zur Signierung verwendet werden. RSA ist häufiger im Einsatz, erfordert jedoch größere Schlüssellängen. ECDSA bietet eine ressourcenschonendere Alternative mit vergleichbarer Sicherheit bei geringerer Rechenlast.
  • X.509: Das Standardformat für Public-Key-Zertifikate. Es definiert den Aufbau des Zertifikats und enthält Felder wie Subject Name, Issuer Name, Public Key, Seriennummer und Gültigkeitszeitraum.

Gemeinsam bilden diese Komponenten ein robustes, verifizierbares Vertrauensmodell, das die sichere Softwareverteilung über Plattformen und Geräte hinweg ermöglicht.

Die Rolle digitaler Signaturen

Im Zentrum des Code Signing steht die digitale Signatur – ein kryptografischer Nachweis dafür, dass eine Software authentisch und unverändert ist. Digitale Signaturen werden mithilfe asymmetrischer Kryptografie erzeugt. Dieses Verfahren basiert auf einem Schlüsselpaar: einem privaten Schlüssel, der ausschließlich dem Signierenden bekannt ist, und einem öffentlichen Schlüssel, mit dem jeder die Signatur verifizieren kann.

Zentrale Vorteile

Digitale Signaturen bieten drei grundlegende Sicherheitsgarantien:

  • Authentizität: Bestätigt, dass der Code vom angegebenen Herausgeber signiert wurde.
  • Integrität: Stellt sicher, dass der Code seit der Signierung nicht verändert wurde.
  • Nichtabstreitbarkeit: Verhindert, dass der Signierende die Urheberschaft nachträglich leugnet.

Diese Eigenschaften bilden das Fundament für Vertrauen in der Software-Lieferkette. Wird die digitale Signatur von einer vertrauenswürdigen Certificate Authority (CA) ausgestellt, liefert sie eine unabhängige Validierung durch Dritte – ein entscheidender Aspekt für Sicherheit und Compliance in regulierten Branchen wie Finanzwesen oder Gesundheitswesen.

Da Software heute schnell durch CI/CD-Pipelines fließt und Angriffe zunehmend auf Entwicklungsprozesse zielen, ist Code Signing nicht nur ein Verifikationsmechanismus, sondern eine essenzielle Verteidigungslinie gegen Manipulation, Identitätsmissbrauch und Insider-Bedrohungen.

Zentrale Komponenten

  • Code Signing-Zertifikat – ausgestellt von einer Certificate Authority
  • Privater Schlüssel – dient zur Signierung
  • Öffentlicher Schlüssel – dient zur Verifikation
  • Zeitstempel – stellt sicher, dass die Signatur auch nach Ablauf des Zertifikats gültig bleibt

Die Rolle von Zeitstempeln beim Code Signing

Zeitstempel sind ein grundlegender Bestandteil eines widerstandsfähigen Code Signing-Prozesses. Sie stellen sicher, dass signierter Code auch nach Ablauf des zugehörigen Zertifikats als vertrauenswürdig gilt, indem zum Zeitpunkt der Signierung ein kryptografischer Zeitstempel hinzugefügt wird.

So funktioniert es:

  1. Während des Signiervorgangs sendet der Signier-Client eine Anfrage an einen vertrauenswürdigen Timestamp-Server (TSA). Dieser stellt ein Zeitstempel-Token aus, das Zeitpunkt, Hash und Signatur enthält.
  2. Dieses Token wird gemeinsam mit der digitalen Signatur in die signierte Datei eingebettet.
  3. Bei der späteren Verifikation – insbesondere nachdem das Zertifikat abgelaufen ist – prüfen Systeme, ob der Zeitstempel von einer vertrauenswürdigen Quelle stammt und während der Gültigkeit des Zertifikats angebracht wurde.

Diese Praxis bewahrt die langfristige Gültigkeit signierter Artefakte, vereinfacht Compliance-Audits und gewährleistet eine dauerhafte Funktionsfähigkeit über unterschiedliche Systeme hinweg. Plattformen wie JFrog bieten integrierte Zeitstempeldienste im Rahmen des Signier-Workflows – einfach zu implementieren und ohne zusätzliche Infrastruktur nutzbar.

Typische Fehler beim Code Signing – und wie Sie sie vermeiden

Auch erfahrene Teams übersehen mitunter entscheidende Details beim Code Signing. Die folgenden häufigen Fehler können die Sicherheit schwächen oder Workflows stören – und sollten daher unbedingt vermieden werden:

Zeitstempelung auslassen: Ein signiertes Artefakt ohne Zeitstempel wird nach Ablauf des Zertifikats ungültig. Dies kann zu Anwendungsfehlern oder unnötigen Sicherheitswarnungen während der Installation führen. Konfigurieren Sie Ihre Signaturtools daher immer so, dass sie einen vertrauenswürdigen Zeitstempel-Service nutzen.

Selbstsignierte Zertifikate verwenden: Selbstsignierte Zertifikate mögen in internen Testumgebungen akzeptabel sein, werden aber von Betriebssystemen, Browsern oder mobilen Plattformen nicht als vertrauenswürdig anerkannt. Für produktive Software sollten ausschließlich Zertifikate von renommierten Certificate Authorities (CAs) verwendet werden.

Widerrufsmechanismen vernachlässigen: Wenn Sie nicht in der Lage sind, kompromittierte Zertifikate schnell zu widerrufen, entsteht eine erhebliche Lücke in Ihrer Incident-Response-Strategie. Definieren Sie klare Widerrufsprozesse und testen Sie deren Wirksamkeit regelmäßig.

Signierung als Einmalaufgabe betrachten: Code Signing sollte kein nachträglicher manueller Schritt am Ende des Entwicklungsprozesses sein. Integrieren Sie Signierung in Ihre CI/CD-Pipelines und automatisieren Sie Verifikationsprüfungen, um eine konsistente und sichere Softwareauslieferung über alle Releases hinweg zu gewährleisten.

Code Signing im Vergleich zu anderen Sicherheitstools

Code Signing ist ein zentrales Sicherheitselement – doch um es richtig einzuordnen, sollte man verstehen, wie es sich in eine umfassende Software-Sicherheitsstrategie einfügt:

  • Checksummen und Hashes: Hashes wie SHA-256 erkennen Veränderungen an Dateien und bestätigen deren Integrität. Sie zeigen jedoch nicht an, wer die Datei erstellt hat oder ob sie signiert wurde. Häufig werden Hashes ergänzend zum Code Signing eingesetzt, bieten aber keine Authentifizierung.
  • Verschlüsselung: Verschlüsselung schützt Daten, indem sie nur für autorisierte Parteien lesbar gemacht werden. Sie stellt jedoch keine Echtheitsprüfung der Software sicher und bietet keinen Schutz vor Manipulation, sobald die Daten entschlüsselt sind.
  • Container-Signierung: Container Signing ergänzt Code Signing für weitergehende Absicherung: In DevOps-Umgebungen werden Container-Images signiert, um deren Herkunft und Integrität zu bestätigen. Das ermöglichen Tools wie Cosign oder Notary.

Jedes dieser Werkzeuge erfüllt eine spezifische Rolle innerhalb des Sicherheitsmodells. Code Signing zielt gezielt auf Vertrauen und Integrität hinsichtlich des Ursprungs und Lebenszyklus der Software ab – und bildet damit einen Grundpfeiler für eine sichere Softwareverteilung.

Code Signing in unterschiedlichen Umgebungen

Code Signing ist in verschiedenen Einsatzszenarien ein unverzichtbares Sicherheitsinstrument – jede Umgebung stellt dabei eigene Anforderungen:

Softwareentwicklung: In CI/CD-Workflows validiert Code Signing jedes Build vor dem Release und verhindert, dass manipulierte Artefakte an Endnutzer gelangen.

Mobile Anwendungen: Plattformen wie iOS und Android verlangen die Signierung von Apps, bevor sie veröffentlicht oder installiert werden dürfen. Unsigned Apps werden automatisch abgelehnt, um Nutzer vor schädlichem Code zu schützen.

Unternehmensumgebungen: Innerhalb von Organisationen – insbesondere in sensiblen Bereichen wie Finanzen, Gesundheitswesen oder kritischer Infrastruktur – dient Code Signing der Durchsetzung interner Vertrauensrichtlinien. Nur autorisierte Skripte, Installer und Updates dürfen auf Endgeräten ausgeführt werden.

Unabhängig davon, ob es sich um öffentlich verfügbare oder interne Software handelt – Code Signing bietet über alle Plattformen hinweg eine konsistente Möglichkeit, Herkunft und Integrität zu verifizieren.

Best Practices für Code Signing

Ein effektives Code Signing umfasst mehr als nur das Anbringen einer digitalen Signatur. Um Sicherheit, Vertrauen und Compliance im großen Maßstab sicherzustellen, sollten Unternehmen Best Practices entlang des gesamten Lebenszyklus von Zertifikatsmanagement, Signiervorgängen und Incident Response umsetzen.

Das richtige Zertifikat auswählen

Die Wahl des passenden Code Signing-Zertifikats richtet sich nach den Anforderungen der Organisation, dem Risikoprofil und den Zielplattformen:

Standard Code Signing-Zertifikate werden häufig von Einzelentwicklern und kleinen Unternehmen genutzt, um Anwendungen und Skripte zu signieren. Sie bestätigen die Herausgeberidentität, unterliegen jedoch nur einer grundlegenden Prüfung durch die Certificate Authority (CA) und erfüllen unter Umständen nicht die Anforderungen strengerer Unternehmensrichtlinien.

Extended Validation (EV) Code Signing-Zertifikate durchlaufen einen besonders strengen Identitätsprüfungsprozess durch die CA. Sie sind beispielsweise Pflicht für die Signierung von Windows-Kernel-Treibern und werden in sicherheitskritischen Umgebungen bevorzugt eingesetzt. EV-Zertifikate genießen ein höheres Vertrauen und helfen, Installationswarnungen oder Sperrungen durch den SmartScreen-Filter unter Windows zu vermeiden.

In regulierten Branchen oder bei der Auslieferung von Unternehmenssoftware gelten EV-Zertifikate als Mindestanforderung für sichere Softwarebereitstellung. Viele Unternehmen setzen auch auf dedizierte Zertifikate für einzelne Produkte oder Teams, um Risiken zu segmentieren und im Bedarfsfall Widerrufsprozesse effizient zu gestalten.

Key Management

Der private Schlüssel, der beim Code Signing verwendet wird, ist ein zentrales Sicherheitsgut. Wird er kompromittiert, können Angreifer damit Malware als vertrauenswürdige Software tarnen und verbreiten. Daher ist ein striktes Key Management unverzichtbar:

  • Hardware Security Modules (HSMs): Private Schlüssel sollten in manipulationssicheren Hardware-Modulen gespeichert oder mithilfe cloudbasierter HSMs geschützt werden. Diese bieten FIPS 140-2- oder Common Criteria-zertifizierte Umgebungen und lassen sich in moderne CI/CD-Tools integrieren.
  • Sichere Cloud-Vaults: Für cloud-native Workflows bieten Key-Management-Dienste wie AWS KMS oder Azure Key Vault die Möglichkeit, Schlüsselzugriffe über Richtlinien zu kontrollieren und mit Audit-Logs zu überwachen.
  • Role-Based Access Control (RBAC): Nur autorisierte Personen sollten Signiervorgänge ausführen dürfen. RBAC verhindert, dass Entwickler ohne entsprechende Berechtigung auf Signierschlüssel zugreifen können, und reduziert so das Risiko durch Insider.
  • Keine Klartextspeicherung: Private Schlüssel dürfen niemals unverschlüsselt auf Entwicklerrechnern oder in unsicheren Repositories gespeichert werden. Der Zugriff sollte ausschließlich über gesicherte Protokolle und zentrale Verwaltungsmechanismen erfolgen.

Durch die Umsetzung dieser Maßnahmen können Unternehmen Schlüsselverluste verhindern, Insider-Risiken minimieren und sicherstellen, dass nur vertrauenswürdige Personen oder Systeme Produktionscode signieren.

Erneuern und Widerrufen von Zertifikaten

Ein durchdachtes Lebenszyklusmanagement von Code Signing-Zertifikaten ist entscheidend, um langfristiges Vertrauen sicherzustellen und die Auswirkungen von Kompromittierungen oder Abläufen zu minimieren:

Zertifikate proaktiv erneuern: Planen Sie Erneuerungen frühzeitig, um Unterbrechungen im Signierprozess zu vermeiden. Nutzen Sie automatisches Ablauf-Tracking und aktualisieren Sie Signatur-Workflows rechtzeitig mit dem neuen Zertifikat.

Zeitstempel verwenden: Selbst nach Ablauf eines Zertifikats bleiben Signaturen mit gültigem Zeitstempel vertrauenswürdig – solange der Code nicht verändert wurde. So bleibt das Vertrauen in bereits veröffentlichte Artefakte erhalten.

Bei Kompromittierung sofort widerrufen: Besteht der Verdacht, dass ein privater Schlüssel kompromittiert wurde, muss das zugehörige Zertifikat umgehend widerrufen werden. Verwenden Sie Certificate Revocation Lists (CRLs) oder das Online Certificate Status Protocol (OCSP), um betroffene Systeme zu informieren und die missbräuchliche Nutzung zu blockieren.

Die Zukunft des Code Signing

Code Signing entwickelt sich stetig weiter, um neuen Anforderungen in den Bereichen Sicherheit, Compliance und Kryptografie gerecht zu werden:

Post-Quantum-Kryptografie: Aktuelle Algorithmen wie RSA und ECDSA sind gegenüber zukünftigen Quantenangriffen nicht resistent. Normungsgremien wie NIST arbeiten daher an quantenresistenten Alternativen, um digitale Signaturen zukunftssicher zu machen.

Integration in DevSecOps: Code Signing wird zunehmend als fester Bestandteil von CI/CD-Prozessen etabliert. Automatisierung und Policy-as-Code ermöglichen schnelle, sichere Releases ohne manuelle Eingriffe.

Regulatorische Veränderungen: Neue gesetzliche Vorgaben und Standards – etwa rund um Software Bills of Materials (SBOMs) oder die Nachvollziehbarkeit von Audits – erhöhen die Anforderungen an Vertrauenswürdigkeit und Herkunft von Software. Code Signing spielt eine zentrale Rolle bei der Einhaltung dieser Anforderungen.

Angesichts wachsender Bedrohungen und steigender regulatorischer Anforderungen wird Code Signing nicht nur als Best Practice betrachtet, sondern als Grundvoraussetzung für sichere Softwarebereitstellung.

Code Signing mit JFrog verwalten

Code Signing ist entscheidend für die Absicherung der Software-Lieferkette und stellt die Authentizität, Integrität und regulatorische Konformität des Codes sicher. Da Bedrohungen zunehmend den Build- und Release-Prozess ins Visier nehmen, integriert JFrog Code Signing in die CI/CD-Pipeline, um jede Phase der Entwicklung zu schützen – ohne dabei Geschwindigkeit einzubüßen.

Die Plattform bietet automatisiertes Signieren, sicheres Management privater Schlüssel, anpassbare Richtlinienkontrollen und eine tiefe Integration mit JFrog Xray zur Erkennung nicht signierter oder veränderter Artefakte – und ermöglicht so eine skalierbare, konforme und manipulationssichere Softwarebereitstellung. Für weitere Informationen besuchen Sie bitte unsere Website, machen Sie eine virtuelle Tour oder vereinbaren Sie eine individuelle Demo.

 

Weitere Ressourcen

Security Research
JFrog and Docker are working together to strengthen the software ecosystem
Read our Research Report
Read our Research Report
JFrog Security Documentation
Explore Features and Functionality
Container Security
Wie man Docker Security Scanning richtig nutzt
Mehr erfahren

Mehr zum Thema Security

JFrog Xray

Unsere universelle Software Composition Analysis-Lösung, für die proaktive Identifizierung von Schwachstellen.

JFrog Xray entdecken

JFrog Advanced Security

Eine einheitliche Sicherheitslösung, die Software-Artefakte vor Bedrohungen schützt, die von Einzeltools nicht erkannt werden können.

JFrog Advanced Security entdecken

JFrog Artifactory

Eine End-to-End-DevOps-Plattform zur Verwaltung, Sicherung und Nachverfolgung aller Artefakte, Binärdateien, Pakete, Dateien, Container und Komponenten in der Software-Lieferkette.

JFrog Artifactory entdecken

Release Fast Or Die

Start Free