Freesoft Auto Updater

Das ist mehr oder weniger freundlich ausgedrückte, konstruktive Kritik an deiner Software @Andy16823:. Sowas sollte man beherzigen, da genau das wünschenswert und mitunter ein Sinn dieser Unterforen ist. Daher bleibt sowas auch stehen. Ob du es nun beherzigst oder nicht, sei dir überlassen, aber ich werde keine warnenden Hinweise löschen, nur weil es sich "schlecht macht".

Gruß
~blaze~

Will ja nich nerven, aber hast du dir nich überlegt, ob du jetzt ne Signierung einbaust?

Geht alles mit .NET und nem RSACryptoServiceProvider. Kannst dir optional nen Wrapper schreiben, brauchst nur nen Private und nen Public Key und zwei Funktionen. Eine zum Signieren und eine zum Validieren.

Siehe mehr: Hier oder hier oder auch hier.

Stells dir einfach so vor. Du hast bereits eine Quelle (speziell jetzt mal für das RSA) und schreibst dir dafür einfach nen Wrapper, also passt dir diese Datenquelle einfach so an, wie du sie brauchst. (Besser kann ich es dir nicht erklären). Ist aber hier denke ich nicht notwendig, sind ja, wie gesagt, nur zwei Funktionen.

Nein! Da wird überhaupt nichts verschlüsselt, sondern man hat einfach eine Signatur, die dann verglichen wird. Die Signatur lässt du dir mit dem Public und dem Private Key zusammen ausgeben. Der Private Key bleibt auf dem Computer des Entwicklers. Diesen darf man auf keinen Fall irgendwo mitliefern. Du lieferst nur den Public Key und die Signatur in einer Datei mit und verifizierst mit denen schließlich das Paket. Der Private Key wird nur genutzt, um das ganze zu erstellen.

Wie gesagt lies dir den Wikipedia-Artikel durch, den ich verlinkt habe.

Nein! Der Public Key kommt ins Archiv.

Es geht darum, dass wenn du das Paket und den MD5 Hash mitschickst du das Paket theoretisch fälschen kannst und den Hash einfach austauschen. Bei RSA ist es eben so, dass du mit dem Public Key nur lesen kannst, jedoch nichts neues erzeugen. Soweit ich das jetzt so mitbekommen habe. Verklagt mich wenn ich Mist verzapfe (noch nie sowas gemacht).

@Andy16823: Die Signatur wird gebildet, in dem du die Bytes von deinem Archiv einliest und dann in einer Funktion aufrufst.

Es ist halt so, man kann auch die Signatur und den Public Key austauschen, allerdings bringt das alles nichts, da man am Ende afaik den Private Key benötigen würde. Diesen aus dem Public Key zu errechnen ist nahezu unmöglich.

@thefiloe: So, wie ich das jetzt verstanden habe ist es falsch. Der Public Key kann verifizieren (also lesen), aber auch verschlüsseln.
Der Private Key kann das auch, jedoch kann nur er die Signatur erstellen

Das Ganze ist halt sicher, denn die Klasse arbeitet intern schön zusammen, nur außen bekommt man davon halt nix mit. Selbst wenn jemand die Signatur austauscht und den Public Key nützt das also nichts.

Garnicht. Warum willst du die Schlüssel vergleichen? Du musst nur die Signatur vergleichen. Der Public Key fließt nur dabei in die Funktion zum Verifizieren mit ein, denn er wandelt die Signatur sozusagen in die Nachricht um.

Jo stimmt so, aber was willst du beim Key denn encoden?

Weil das so vorgegeben ist, aber warum willst du denn entschlüsseln? Du sollst signieren, nicht verschlüsseln usw.
Der Private Key signiert und der Public Key verifiziert.