1. /
  2. Anwendungssicherheit für Mobilfunkanbieter
  • Hinzufügen
Anwendungssicherheit für Mobilfunkanbieter

Anwendungssicherheit für Mobilfunkanbieter

  • Bringen Sie mehr Anwendungen schneller auf den Markt
  • Fördern Sie Innovationen
  • Schützen Sie Ihr Netzwerk

Mobilfunkbetreiber müssen Innovationen und eine schnelle Markteinführung gegen die Sicherheit ihres Netzwerks und ihrer Kunden abwägen. Das Symantec Code Signing Portal unterstützt sie dabei.
Die Anbieter von Mobilfunknetzen versuchen sich im Wettbewerb um Abonnenten und Umsatzzahlen durch schnellere Netzwerke, intelligentere Geräte und Killeranwendungen stark voneinander abzugrenzen. Mobilfunkbetreiber wenden sich daher immer häufiger an eine wachsende, weltweite Entwicklergemeinschaft, um für Kunden mehr Anreize zu schaffen, ihre Mobilgeräte zu kaufen. Doch unterbricht ein fehlerhafter oder bösartiger Code nicht nur den Service des Benutzers, sondern gefährdet das gesamte Netzwerk.
Lesen Sie das Datenblatt: Symantec Code Signing Portal von Symantec

Wie Code Signing Mobilfunkanbietern hilft

Software, die – mit oder ohne Wissen des Abonnenten – mobil heruntergeladen wurde, stellt eine ernste Bedrohung dar. Beim herkömmlichen Softwarevertrieb kann ein Käufer die Quelle der Anwendung und ihre Integrität auf der Verpackung finden. Symantec Code Signing bietet eine Art digitale "Schrumpffolie", die die Quelle des Codes anzeigt und bestätigt, dass er seit der Signatur nicht mehr verändert wurde. Im Symantec Code Signing Portal erhalten Mobilfunkbetreiber die Kontrolle über den Test- und Genehmigungsprozess, bevor Code in ihr Netzwerk gelangt.

Beschränken des Zugriffs auf Anwendungen bekannter und freigegebener Quellen

Das Symantec Code Signing Portal fordert von den Entwicklern, sich einer rigorosen, bewährten Validierung zu unterziehen, um eine Publisher-ID erwerben zu können. Der Entwickler verwendet eine Publisher-ID, um Code zu signieren und dann in das Symantec Code Signing Portal hochzuladen. Symantec validiert die Signatur des Herstellers, entfernt dann dessen digitale Signatur und erzeugt ein neues Schlüsselpaar, signiert den Inhalt und sendet ihn zusammen mit der neu erzeugten, eindeutigen Content-ID zurück an den Hersteller, damit er sie vertrauenswürdig auf der Plattform des Herstellers verwenden kann. Indem Entwickler ihren Code mithilfe eines speziell dafür vorgesehenen Portals signieren müssen, können Mobilfunkbetreiber den Zugriff auf Anwendungen beschränken, die von bekannten, verifizierten Quellen erstellt wurden.

Integrieren von Tests in den Freigabeprozess

Erfolg auf dem Mobilfunkmarkt setzt ständige Innovation im Wettbewerb um Abonnenten sowie die Nutzung umsatzwirksamer Datendienste voraus. Netzwerkanbieter und Anbieter von Mobilplattformen, die Symantec Code Signing in ihren Freigabeprozess einbeziehen, helfen dabei, die Vorlaufzeit durch eine schlankere Entwicklung zu beschleunigen. Sobald die Anwendungen hochgeladen wurden, erhalten die Prüfer einen einfachen, webbasierten Zugriff auf die angeforderten digitalen Signaturen und können sie schnell freigeben. Eine Publisher-API ermöglicht es Entwicklern, Symantec Code Signing direkt in ihren Aufbauprozess zu integrieren.

Mehr Kontrolle und besserer Schutz

Mit einem herkömmlichen Code Signing-Zertifikat signiert der Entwickler den gesamten Code mit derselben digitalen Signatur. Falls ein fehlerhafter oder bösartiger Code entdeckt wird, muss das Zertifikat widerrufen werden. Damit wird der gesamte Code mit der digitalen Signatur ungültig.
Das Symantec Code Signing Portal nutzt einen zweistufigen Signaturprozess, um für jedes Code Signing-Ereignis eine eindeutige digitale Signatur zu erstellen. Da auf diese Weise jede Anwendung eine eindeutige digitale Signatur erhält, kann das Zertifikat leichter nachverfolgt und widerrufen werden, ohne den Zugriff auf anderen Code und Inhalt zu stören, der vom Entwickler veröffentlicht wurde. Dadurch erhalten Netzwerkbetreiber mehr Kontrolle sowie einen besseren Netzwerkschutz und können Innovationen vorantreiben.

Privater Markenportal-Signaturdienst

Für Netzwerkanbieter und Anbieter von Mobilplattformen, die mehr Kontrolle über das Signieren von Code und die Freigabe wünschen, bietet Symantec einen privaten Signaturdienst für Markenportale an. Weitere Informationen erhalten Sie von: CodeSigning_EMEA@symantec.com.

Symantec Code Signing Portal – Häufig gestellte Fragen

Was ist Code Signing und warum brauche ich es?

Code Signing erstellt eine digitale "Schrumpffolie", die den Kunden die Identität des für den Code verantwortlichen Unternehmens zeigt und bestätigt, dass er seit der Signatur nicht mehr verändert wurde. Beim herkömmlichen Softwarevertrieb kann ein Käufer die Quelle der Anwendung und ihre Integrität auf der Verpackung finden. Kunden laden immer mehr Anwendungen auf Ihre Mobiltelefone herunter, installieren Plugins und Add-ins und interagieren mit ausgefeilten webbasierten Anwendungen. Wenn sie einen bösartigen oder fehlerhaften Code herunterladen, riskieren sie ihre eigene Sicherheit sowie die Funktionalität der mobilen Netzwerke. Symantec Code Signing schützt Ihre Marke und Ihr geistiges Eigentum, indem Ihre Anwendungen dank einer digitalen Signatur identifizierbar und schwieriger zu fälschen oder zu beschädigen sind.

Wie funktioniert das Symantec Code Signing Portal?

Code Signing-Zertifikate basieren auf der Verschlüsselung mit öffentlichen Schlüsseln. Ein Entwickler oder Softwarehersteller verwendet einen privaten Schlüssel, um dem Code oder Inhalt eine digitale Signatur hinzuzufügen. Softwareplattformen und Anwendungen verwenden einen öffentlichen Schlüssel zur Entschlüsselung der Signatur beim Download und vergleichen den für die Signatur der Anwendung verwendeten Hash mit dem Hash auf der heruntergeladenen Anwendung. Signierter Code einer vertrauenswürdigen Quelle wird entweder automatisch akzeptiert oder es erscheint eine Sicherheitswarnung, die den Benutzer auffordert, sich die Signaturinformationen anzusehen und zu entscheiden, ob er dem Code vertraut oder nicht.
Mit einem Code Signing-Zertifikat signiert der Entwickler den gesamten Code mit derselben digitalen Signatur und identifiziert somit die Quelle des Codes und dass der Code seit der Signatur unverändert geblieben ist. Das Code Signing Portal verwendet für jede Signatur des Codes einen zweistufigen Signaturprozess, um eine eindeutige digitale Signatur zu erstellen, und macht so jede Version des herausgegebenen Codes leichter nachverfolgbar und widerrufbarer. Der Entwickler verwendet eine Publisher-ID, um den Code zu signieren und sich in sein Code Signing Portal einzuloggen. Der Entwickler lädt dann den Code in das Code Signing Portal hoch. Symantec validiert die Signatur des Herstellers, entfernt dann die digitale Signatur des Herstellers und erzeugt ein neues Schlüsselpaar, signiert den Inhalt und sendet ihn zusammen mit der neu erzeugten Content-ID zurück an den Hersteller.

Was ist der Unterschied zwischen einer Publisher-ID und einer Content-ID?

Eine Publisher-ID ist das digitale Zertifikat, das Sie erhalten, wenn Sie sich für ein Signing Portal anmelden. Sie enthält Ihre Unternehmensangaben und wird dazu verwendet, Ihren Code oder Inhalt digital zu signieren, bevor Sie ihn in Ihr Signing Portal hochladen. Des Weiteren wird sie beim Einloggen in das Code Signing Portal zur Authentifizierung verwendet. Die Content-ID ist das eindeutige, von Symantec ausgearbeitete Code Signing-Zertifikat, wenn Ihr Inhalt im Signing Portal signiert wird. Sie ist die einzige Signatur, der auf dem Gerät des Endanwenders für einen sicheren Download und eine sichere Ausführung vertraut werden wird. Für die Signatur eines Codes mit einem Signing Portal müssen Sie eine Publisher-ID und ein Paket mit Content-IDs oder "Signaturereignissen" erwerben.

Wie viele Publisher-IDs brauche ich?

Jedes Konto für ein Code Signing Portal umfasst eine Publisher-ID (auch als Administratorzertifikat bezeichnet). Ein Administrator kann sich in das Code Signing Portal einloggen und zusätzliche Publisher-IDs für verschiedene Entwicklergruppen innerhalb des Unternehmens erwerben. Durch die Verwendung eines einzigen Kontos mit mehreren Publisher-IDs verfügt das Unternehmen über ein Portal zur Ansicht und Nachverfolgung aller Code Signing-Ereignisse. Zudem besitzt jede Gruppe so eine einzigartige Identität, die für eine höhere Sicherheit widerrufen oder verändert werden kann.

Wie viele Content-IDs oder Signaturereignisse brauche ich?

Eine Content-ID wird immer dann verbraucht, wenn eine Anwendung oder ein Code signiert wird. Content-IDs werden über das Symantec Code Signing Portal als Pakete mit Signaturereignissen verkauft. Sie benötigen ein Signaturereignis für jede Anwendung, die Sie signieren, einschließlich verschiedener Versionen. Wenn Sie eine Windows Mobile-Anwendung haben, die aus einer CAB-Datei besteht, die sich wiederum aus einer EXE- und einer DLL-Datei zusammensetzt, erzeugt die Signatur Ihrer Anwendung drei Signaturen – jeweils eine für die DLL-, die EXE- und die CAB-Datei. Es wird aber nur ein Signaturereignis verbraucht.

Muss ich alle Dateien einer CAB-Dabei signieren oder nur die CAB-Datei selbst?

Alle ausführbaren Anwendungen innerhalb der .cab-Datei müssen signiert werden. Ein Symantec Code Signing Portal signiert automatisch alle enthaltenen ausführbaren Anwendungen, wenn die .cab-Datei zur Signatur hochgeladen wird.

Wie lange dauert es, Code mithilfe des Symantec Code Signing Portals zu signieren?

Symantec signiert freigegebene Anwendungen automatisch. Das Code Signing kann je nach Art des von Ihnen verwendeten Signing-Service und der Anforderungen der Geräteplattform oder des mobilen Netzwerks nur einige wenige Minuten oder aber mehrere Tage lang dauern. Für Anwendungen, die auf sichere APIs zugreifen, kann ein Netzwerkanbieter oder Hersteller Tests verlangen. Der Entwickler signiert die Anwendung und sendet sie an ein Testinstitut, das die Anwendung dann in das Code Signing Portal hochlädt. Symantec benachrichtigt den Netzwerkbetreiber oder Hersteller darüber, dass die Anwendung nun signiert werden kann. Wenn der Netzwerkbetreiber oder Hersteller die Anwendung freigibt, vervollständigt Symantec den Signaturprozess. Entwickler können den Status Ihrer Anwendung im Code Signing Portal verfolgen. Weitere Informationen zu den Anforderungen für die Tests und die Freigabe erhalten Sie direkt von Ihrem Netzwerkbetreiber oder Hersteller.

Warum muss ich meine Publisher-ID bzw. Administrator-ID erneuern?

Publisher-IDs und Administrator-IDs verlieren nach zwölf Monaten ihre Gültigkeit. Symantec verwendet einen bewährten und sicheren Prozess für die Authentifizierung und Verifizierung von Unternehmen vor der Ausstellung von Zertifikaten der Klasse 3, wie zum Beispiel dem Code Signing. Der jährliche Verlängerungsprozess gewährleistet, dass die Publisher-ID von einem legitimen Unternehmen verwendet wird und dass der Ansprechpartner bevollmächtigt ist, als Entwickler für dieses Unternehmen tätig zu sein. Diese Vorgehensweise ist vor der Ausstellung Ihrer Code Signing-Zertifikate und der Publisher-IDs notwendig.

Gibt es eine Möglichkeit, den Prozess des Code Signing mit dem Code Signing Portal zu verschlüsseln?

Symantec bietet APIs für Publisher- und Provider-Kunden zur Verwendung mit dem Symantec Code Signing Portal. Diese API-Leitfäden können Sie bei Ihrem Kundenbetreuer vor Ort oder unserem Supportteam anfordern.

Wie lange bleibt eine digitale Signatur gültig?

Das Symantec Code Signing Portal signiert Code mit einer digitalen Signatur, die zehn Jahre lang gültig ist. Selbst wenn die Publisher-ID ungültig wird, behalten die einzigartige Content-ID und die digitale Signatur ihre Gültigkeit.

Kann ich von verschiedenen Computern aus auf mein Code Signing Portal zugreifen?

Sie können mit einem USB-Token und Ihrer Publisher-ID von jedem Computer aus auf Ihr Code Signing Portal zugreifen, solange der Computer die minimalen Systemanforderungen erfüllt. Sie müssen jedoch Ihre Publisher-ID von diesem Computer aus erwerben und abrufen. Falls beim Abrufen Probleme auftreten, überprüfen Sie, ob Sie das Zertifikat mit demselben Computer, Browser und Login-Profil abrufen, die Sie bereits bei der Anmeldung genutzt haben. Symantec empfiehlt Entwicklern, für eine höhere Sicherheit und einfachere Verwaltung eher zusätzliche Publisher-IDs zu erwerben als Zertifikate zu teilen.

Woher wissen Besucher meiner Website, dass sie meiner digitalen Signatur vertrauen können?

Die Signatur Ihres Codes stellt lediglich sicher, dass er nicht verändert wurde und dass er von Ihnen stammt, aber sie verifiziert nicht Ihre Identität. Der Zertifizierung durch einen Dritten wird eher vertraut als einer Selbstzertifizierung, da sich der Antragsteller des Zertifikats einer Überprüfung oder Authentifizierung unterziehen musste. Wenn Softwareplattformen und Anwendungen eine digitale Signatur verifizieren, greifen sie auf ein "Root"-Zertifikat zu, um festzustellen, ob der ausstellenden Zertifizierungsstelle vertraut werden kann oder nicht. Da die Root-Zertifikate von Symantec auf den meisten Geräten bereits vorinstalliert und in die meisten Anwendungen bereits eingebettet sind, wird den digitalen Signaturen von Symantec fast immer vertraut. So werden Warnungen und Fehlermeldungen reduziert.

Wie gehe ich vor, wenn ich meinen USB-Token oder meine Publisher-ID verliere oder wenn Beschädigungen auftreten?

Ein USB-Token mit einer Publisher-ID oder einem Token-Kennwort kann nicht ersetzt werden, wenn er verloren geht oder gestohlen wird, da Sie ja nicht möchten, dass jeder, der ihn findet, ihn auch benutzt, um Code in Ihrem Namen zu signieren. Falls Sie Ihren privaten Schlüssel verlieren oder beschädigen oder falls sich Ihre Angaben geändert haben, sollten Sie Ihre Publisher-ID sofort widerrufen und durch ein neues digitales Zertifikat ersetzen.

Vertrieb kontaktieren

  • Rufen Sie uns an:
  • 08005891275 oder
  • 0800 128 1000 (kostenlos aus DE) oder
  • 0800 208899 (kostenlos aus AT) oder
  • +41 26 429 7726 oder
  • Schicken Sie uns eine Anfrage
Code Signing-Informationszentrum
Code Signing White Paper lesen
Anwendungssicherheit für Mobilfunkanbieter