M 4.191 Überprüfung der Integrität und Authentizität der Apache-Pakete
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Ist bei der Planung für den Einsatz des Apache-Webservers entschieden worden, den Apache-Webserver entweder aus dem Quelltext zu kompilieren oder eine der Binärversionen von der der Apache Foundation zu verwenden, so muss die Integrität des Quellcode- oder Installationspaketes, das aus dem Internet heruntergeladen wurde, überprüft werden (siehe auch M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen).
Die Entwickler des Apache-Projektes verwenden schon seit längerer Zeit digitale Signaturen mit der Software PGP zur Absicherung der Quellcode-Pakete (siehe auch M 5.63 Einsatz von GnuPG oder PGP). Die Signatur der Apache-Quelltexte befindet sich stets in einer gesonderten Datei, die den gleichen Namen trägt, wie das Quelltext-Paket selbst, jedoch ergänzt durch das Suffix .asc. Die öffentlichen Schlüssel der Apache Entwickler finden sich in der Datei http://www.apache.org/dist/httpd/KEYS. Diese Datei KEYS ist auch als Bestandteil des jeweiligen Apache-Paketes im Lieferumfang vieler (Unix-) Betriebssysteme enthalten.
Vor der Installation des Apache-Webservers aus einem Paket, das aus dem Internet geladen wurde, sollte stets die Integrität und Authentizität der Software durch Kontrolle der entsprechenden Signatur überprüft werden.
Um zu vermeiden, dass zur Kontrolle der Signatur manipulierte öffentliche Schlüssel zum Einsatz kommen, sollte die Datei KEYS oder die darin enthaltenen Schlüssel unabhängig vom eigentlichen Softwarepakte bezogen werden. Es bieten sich eine oder mehrere der folgenden Methoden an:
- Verwendung einer KEYS Datei, die bereits vor längerer Zeit vom zentralen Webserver des Apache-Projektes (und nicht von einem Spiegelserver) heruntergeladen wurde.
- Verwendung von KEYS Dateien von mehreren Spiegelservern.
- Verwendung einer KEYS Datei aus einer bereits auf CD-ROM vorhandenen Version des Apache-Webservers.
Prinzipiell genügt es schon, nur den Fingerabdruck (englisch: Fingerprint) des jeweiligen benutzten öffentlichen GPG-Schlüssels zu vergleichen.
Die Herkunft der zu installierenden Software sollte ebenso wie der Prozess der Integritätsprüfung der Software dokumentiert werden.
Ergänzende Kontrollfragen:
- Wurde eine Integritätsprüfung der Software vorgenommen?
- Sind die Herkunft der Software und die vorgenommene Integritätsprüfung dokumentiert?