Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.191 Überprüfung der Integrität und Authentizität der Apache-Pakete - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.191 Überprüfung der Integrität und Authentizität der Apache-Pakete

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Ist bei der Planung für den Einsatz des Apache-Webservers entschieden worden, den Apache-Webserver entweder aus dem Quelltext zu kompilieren oder eine der Binärversionen von der der Apache Foundation zu verwenden, so muss die Integrität des Quellcode- oder Installationspaketes, das aus dem Internet heruntergeladen wurde, überprüft werden (siehe auch M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen).

Die Entwickler des Apache-Projektes verwenden schon seit längerer Zeit digitale Signaturen mit der Software PGP zur Absicherung der Quellcode-Pakete (siehe auch M 5.63 Einsatz von GnuPG oder PGP). Die Signatur der Apache-Quelltexte befindet sich stets in einer gesonderten Datei, die den gleichen Namen trägt, wie das Quelltext-Paket selbst, jedoch ergänzt durch das Suffix .asc. Die öffentlichen Schlüssel der Apache Entwickler finden sich in der Datei http://www.apache.org/dist/httpd/KEYS. Diese Datei KEYS ist auch als Bestandteil des jeweiligen Apache-Paketes im Lieferumfang vieler (Unix-) Betriebssysteme enthalten.

Vor der Installation des Apache-Webservers aus einem Paket, das aus dem Internet geladen wurde, sollte stets die Integrität und Authentizität der Software durch Kontrolle der entsprechenden Signatur überprüft werden.

Um zu vermeiden, dass zur Kontrolle der Signatur manipulierte öffentliche Schlüssel zum Einsatz kommen, sollte die Datei KEYS oder die darin enthaltenen Schlüssel unabhängig vom eigentlichen Softwarepakte bezogen werden. Es bieten sich eine oder mehrere der folgenden Methoden an:

Prinzipiell genügt es schon, nur den Fingerabdruck (englisch: Fingerprint) des jeweiligen benutzten öffentlichen GPG-Schlüssels zu vergleichen.

Die Herkunft der zu installierenden Software sollte ebenso wie der Prozess der Integritätsprüfung der Software dokumentiert werden.

Ergänzende Kontrollfragen: