Fingerprints "Mozilla Corporation"-Zertifikat zur Überprüfung der Authentizität (keytool/apksigner) eines Downloads

ssy

Hallo Leute,

kurz: Wo im Mozilla-Universum finde ich Fingerprints der Zertifikate, die von Mozilla zum signieren von firefox-xxx.apk verwendet werden?

lang: Ich habe lineageos auf meinem moto edge 30 installiert. Läuft soweit problemlos.

Nun würde ich gerne meinen liebgewonnenen Firefox installieren.

Leider gibt es keine firefox-xxx.apk bei F-Droid oder Mozilla (?).

Ich fand zwar schnell alternative Quellen, bin dann aber bei der Überprüfung der Authentizität des Downloads gescheitert.

Oder ich interpretiere die Ergebnisse meiner Überprüfung falsch.

Code

:~> keytool  -printcert -jarfile firefox-116-0.apk  
Signaturgeber #1:
Certificate #1:
Eigentümer: CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US
Aussteller: CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US
Seriennummer: 4c72fd88
Gültig von: Tue Aug 24 01:00:24 CEST 2010 bis: Sat Jan 09 00:00:24 CET 2038
Zertifikatsfingerprints:
        SHA1: 92:0F:48:76:A6:A5:7B:4A:6A:2F:4C:CA:F6:5F:7D:29:CE:26:FF:2C
        SHA256: A7:8B:62:A5:16:5B:44:94:B2:FE:AD:9E:76:A2:80:D2:2D:93:7F:EE:62:51:AE:CE:59:94:46:B2:EA:31:9B:04
Signaturalgorithmusname: SHA1withRSA (disabled)
Public Key-Algorithmus von Subject: 2048-Bit-RSA-Schlüssel
Version: 3

Alles anzeigen

oder

Code

:~> apksigner verify --print-certs firefox-116-0.apk   
Verifies

Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): false
Verified using v3.1 scheme (APK Signature Scheme v3.1): false
Verified using v4 scheme (APK Signature Scheme v4): false
Verified for SourceStamp: false
Number of signers: 1
Signer #1 certificate DN: CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US
Signer #1 certificate SHA-256 digest: a78b62a5165b4494b2fead9e76a280d22d937fee6251aece599446b2ea319b04
Signer #1 certificate SHA-1 digest: 920f4876a6a57b4a6a2f4ccaf65f7d29ce26ff2c
Signer #1 certificate MD5 digest: b1e1bcee2733025ece9456e419a814a3
Signer #1 key algorithm: RSA
Signer #1 key size (bits): 2048
Signer #1 public key SHA-256 digest: aac36655156876c894b09d512e74a0c7bb3301a1c871f200820d099ef1520ae1
Signer #1 public key SHA-1 digest: 3d4fff78408b159058428bff8d07589a4c18aa8b
Signer #1 public key MD5 digest: fe669db38a1eae305b8573293e5c35d8

Alles anzeigen

Nach meinem - sehr bescheidenen Verständnis - bedeutet das, dass die Datei firefox-116-0.apk seit der Signierung nicht geändert wurde., aber nicht, dass das verwendete Zertifikat authentisch ist. Zur Bestätigung der Authentizität muss daher m.E. eine Fingerprintüberprüfung des Zeritikats erfolgen.

Aber wie? Ich hab mir die Finger wund gesucht, aber nix dazu bei Mozilla gefunden. Und startpage findet nur die gleichen Fingerprints bei anderen apk-Downloadern. Oder blick ich "es" einfach nur nicht ?

Jede Hilfe herzlich willkommen und Danke im Voraus.

ssy

.DeJaVu

Auf F-Droid heisst es immer noch "Fennec", ist ne Macke von denen, als das Teil wirklich noch "Fennec" hiess.

Fennec F-Droid | F-Droid - Free and Open Source Android App Repository

Im Internet surfen

f-droid.org

Noch ältere Versionen findest du auf den etlichen apk mirror-Seiten, auf eigene Gefahr.

Zitat von ssy

Ich fand zwar schnell alternative Quellen

Ohne Quellenangabe wird das wohl kaum jemand so bestätigen können.

Zitat

lineageos

Ohne Google Play Store?

ssy

Hi .DeJaVu,

Danke für die schnelle Antwort.

Zitat von .DeJaVu

Auf F-Droid heisst es immer noch "Fennec", ist ne Macke von denen, als das Teil wirklich noch "Fennec" hiess.

https://f-droid.org/de/packages/org.mozilla.fennec_fdroid/

Danke für den Hinweis.

Zitat von .DeJaVu

Noch ältere Versionen findest du auf den etlichen apk mirror-Seiten, auf eigene Gefahr.

Zitat von ssy

Ich fand zwar schnell alternative Quellen

Ohne Quellenangabe wird das wohl kaum jemand so bestätigen können.

Firefox (Android)

Schnelles Surfen mit dem Smartphone

firefox.de.uptodown.com

Zitat von .DeJaVu

Zitat

lineageos

Ohne Google Play Store?

Ja.

Teil meines - für mich sehr herausfordernden - Wegs zu mehr Datenselbstbestimmung und -sicherheit auf meinem Handy ist die Ab[k|w]ehr von Google. Aber auch die Überprüfung von (beliebigen) Paketen vor der Installation.

Kannst Du mir noch bei meiner "Suche nach dem Zertifikat" weiterhelfen?

Grüße

.DeJaVu

Zitat

uptodown

Dein Ernst?

https://www.apkmirror.com/ ohne Gewähr!

Zitat von ssy

Wo im Mozilla-Universum finde ich Fingerprints der Zertifikate, die von Mozilla zum signieren von firefox-xxx.apk verwendet werden?

Aber um auf diese Frage einzugehen. Das sind grundlegende Möglichkeiten innerhalb von Android. Wenn deines das nicht bietet, solltest du dich fragen, was so eine Alternative wirklich taugt.

Eine andere Frage dazu - wozu ist das überhaupt für dich wichtig?

Wenn du Firefox aus einer vertrauenswürdigen Quelle beziehst, ist sowas hinfällig.

Kannst du Firefox denn installieren? Falls ja, ist alles andere überflüssig.

Und ich denke, dass

CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US

ausreichend sein sollte für eine visuelle Kontrolle.

ssy

Hallo .DeJaVu,

Zitat von .DeJaVu

Zitat von ssy

Wo im Mozilla-Universum finde ich Fingerprints der Zertifikate, die von Mozilla zum signieren von firefox-xxx.apk verwendet werden?

Aber um auf diese Frage einzugehen. Das sind grundlegende Möglichkeiten innerhalb von Android. Wenn deines das nicht bietet, solltest du dich fragen, was so eine Alternative wirklich taugt.

Ich habe das apk auf meinen Linux-Desktop heruntergeladen und auf diesem mit den o.g. Tools überprüft. Hierbei spielt das installierte OS auf dem Handy m.E. keine Rolle. Bei erfolgreicher Prüfung käme dann der push des apk auf das Handy mit anschließender Installation.

Zur Überprüfung brauche ich m.E. die angefragten Fingerprints.

Zitat von .DeJaVu

Eine andere Frage dazu - wozu ist das überhaupt für dich wichtig?

Wenn du Firefox aus einer vertrauenswürdigen Quelle beziehst, ist sowas hinfällig.

Kannst du Firefox denn installieren? Falls ja, ist alles andere überflüssig.

Und ich denke, dass

CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US

ausreichend sein sollte für eine visuelle Kontrolle.

Alles anzeigen

Das sehe ich grundlegend anders.

"Vertraue auf Gott, aber binde Dein Kamel an"

Grüße

.DeJaVu

Dann musst du halt selbst weitersuchen. Wenn du keine offiziellen Quellen nutzen kannst, oder willst, dann sieh zu, dass du auch eigene Lösungen dazu findest.

ssy

Hi .DeJaVu,

Danke für Deine Mühe.

Grüße

Sören Hentzschel

Hallo,

Zitat von ssy

Teil meines - für mich sehr herausfordernden - Wegs zu mehr Datenselbstbestimmung und -sicherheit auf meinem Handy ist die Ab[k|w]ehr von Google.

Ohje. Vielleicht solltest du dann gar nicht erst Android nutzen, wenn Google so „böse“ ist und unbedingt gemieden werden muss? Einen rationalen Grund kann ich in dieser Begründung jedenfalls keinen erkennen.

Du hast ganz sicher nicht mehr „Datenselbstbestimmung und -sicherheit“, indem du Firefox von einem unbekannten Dritten anststelle vom Hersteller selbst beziehst, dessen offizieller Distributionskanal nun einmal der Google Play Store ist. Der Bezug über den Google Play Store hat für dich vor allem die Vorteile, dass die Integrität gewährleistet ist, sprich du dir sicher sein kannst, dass du wirklich Firefox von Mozilla erhältst, dass die App durch Google zwecks Sicherheit geprüft worden ist und dass du automatisch Updates erhältst, was ebenfalls wichtig für die Sicherheit ist.

Die APK-Dateien gibt es auch von Mozilla selbst. Auf die verlinke ich aber Sicherheitsgründen nicht, weil darüber keine automatischen Updates möglich sind.

Von F-Droid / Fennec kann ich dir nur ausdrücklich abraten. Das ist ein von einem Dritten beschnittener Firefox und kein offizieller Firefox von Mozilla.

PS: Wenn dir Sicherheit wichtig ist, sieh lieber zu, dass du deinen Firefox aktualisierst. Angegeben hast du zwar Firefox 116, aber hier im Forum online bist du immer noch mit Firefox 115.

ssy

Hallo Sören,

Danke für Deinen Beitrag.

Leider beantwortest auch Du mir meine eigentliche Frage nicht.

Wo im Mozilla-Universum finde ich Fingerprints der Zertifikate, die von Mozilla zum signieren von firefox-xxx.apk verwendet werden?

Kann mir bei dieser Frage jemand helfen?

Danke im Voraus.

Grüße

ssy

Hallo Leute,

Zwischenstand meiner Bemühungen zur Verifikation des Zertifikats von Mozilla:

Ich hab mir von mozilla.org ein ähnliches apk heruntergeladen und die certificate und public key digests mit apksigner verglichen. Die stimmen überein.

Nach meinem - bescheidenen - Verständnis habe ich damit die Sicherheit, dass die beiden Pakete mit dem gleichen Signerzertifikat signiert wurden - also von Mozilla - und die Datei nicht verändert wurde.

Stimmt das?

Oder habe ich etwas Grundlegendes übersehen, miss-, nicht verstanden...

Grüße

ssy

Zitat von Sören Hentzschel

Die APK-Dateien gibt es auch von Mozilla selbst. Auf die verlinke ich aber Sicherheitsgründen nicht, weil darüber keine automatischen Updates möglich sind.

Jetzt hast Du mir doch dabei geholfen die APKs zu finden
Umstellung vom alten Firefox für Android auf Nachfolger „Fenix“ hat begonnen
Danke

Sören Hentzschel

In meinem Artikel, den du verlinkt hast, steht nirgends der Link. Aber da du den Link ja nun eh schon gefunden hast, habe ich ihn aus dem vorherigen Beitrag entfernt, damit niemand über diesen Thread auf schlechte Ideen kommt.

Ich rate ausdrücklich davon ab, eine Firefox-Version zu installieren, welche keine Updates erhält!

Apropos, du nutzt immer noch Firefox 115…

ssy

Zitat von Sören Hentzschel

In meinem Artikel, den du verlinkt hast, steht nirgends der Link.

Das habe ich auch nicht behauptet. Ich habe auf wikipedia als Quelle einen Artikel bei DrWindows.de gefunden, der wiederum Deinen Artikel als Quelle angibt. Den habe ich gelesen und dadurch fiel bei mir der "Fenixgroschen".

Der Rest war Durchklicken auf mozilla.org.

Zitat von Sören Hentzschel

Aber da du den Link ja nun eh schon gefunden hast, habe ich ihn aus dem vorherigen Beitrag entfernt, [...]

Du entfernst einen Link auf ein offizielles, öffentlich zugängliches Mozilla FTP Verzeichnis aus meinem Post.

Das finde ich ziemlich verstörend.

M.E. war dieser Link kein Verstoß gegen Forenregeln und seine Entfernung mit diesen nicht rechtfertigbar.

Zitat von Sören Hentzschel

Aber da du den Link ja nun eh schon gefunden hast, habe ich ihn aus dem vorherigen Beitrag entfernt, damit niemand über diesen Thread auf schlechte Ideen kommt.

Hervorhebungen von ssy

Deine Begründung der Entfernung meines Links besteht aus zwei Aussagen:

ssy hat den Link gefunden
niemand soll über diesen Thread auf schlechte Ideen kommen

Zu 1.: Ja, ich habe den Link gefunden und damit mein Problem gelöst. Gepostet habe ich den Link aber nicht für mich. Mein Verständnis eines Forums beinhaltet das Teilen von Wissen mit mündigen Anderen und für eben diese war der Link gedacht.

Zu 2.: M.M.n. ist es nicht die Aufgabe von Forumadministratoren Mitglieder vor sich selbst zu schützen ("schlechte Ideen"). Schon der (ernstgemeinte?) Versuch erscheint mir absurd^[1].

Ist es nicht vielmehr Sinn eines Forums, dabei zu helfen, dass Mitglieder mittels Austausch von Gedanken, Meinungen und Erfahrungen selbst eine informierte Entscheidung treffen können^[2]?
Die "Idee" ein "google-freies-Handy" mit aktuellem LineageOS und firefox aus "offiziellen Quellen" zu nutzen ist meiner Meinung nach nicht "schlecht". Es gibt bei jeder "idee" Vor- und Nachteile, aber diese zu beurteilen und dann zu entscheiden, sollte m.M.n. dem Nutzer vorbehalten sein.

Weder 1. noch 2. rechtfertigen m.M.n. die Löschung von Teilen meines Posts.

Zitat von Sören Hentzschel

Ich rate ausdrücklich davon ab, eine Firefox-Version zu installieren, welche keine Updates erhält!

Ich rate ausdrücklich davon ab Windows oder Apple zu nutzen.

Ist aber nur meine Meinung.

Friedliche Grüße

Sören Hentzschel

Zitat von ssy

Du entfernst einen Link auf ein offizielles, öffentlich zugängliches Mozilla FTP Verzeichnis aus meinem Post.
Das finde ich ziemlich verstörend.
M.E. war dieser Link kein Verstoß gegen Forenregeln und seine Entfernung mit diesen nicht rechtfertigbar.

Die dort verlinkten Versionen besitzen keine Update-Funktion und stellen damit eine massive Sicherheitsgefährdung dar. Die von dir genannte Seite ist nicht für Endnutzer gedacht. Und mal davon abgesehen, dass die Forenregeln nicht jeden Fall explizit benennen müssen (§ 1.2 Geltungsbereich), führt dies für Nutzer sehr schnell zur Nutzung veralteter Firefox-Versionen, wofür es laut Forenregeln keinen Support in diesem Forum gibt (§ 5.2 Support zu veralteten Versionen). Selbst wenn du durchschnittlich drei Mal im Monat Firefox neu herunterlädst und deine alte Version überschreibst (was ich ehrlich gesagt auch nicht glaube), kannst du nicht gewährleisten, dass das jeder macht, der auf diesen Thread stößt und sich darüber Firefox herunterlädt. Nicht dass das überhaupt gerechtfertigt werden müsste; Aber die Entfernung des Links ist aus diesem Grund in jedem Fall im Sinne der Forenregeln. Es steht jedem frei, danach zu recherchieren, aber ohne Grund zur Verbreitung beitragen müssen wir auch nicht.

Im Übrigen ist das kein FTP-Verzeichnis. Das denkst du vielleicht, weil du noch eine veraltete Domain abgespeichert hast, die aus Kompatibilitätsgründen noch funktioniert. Die „kanonische“ Domain ist eine andere. Aber das nur am Rande.

Zitat von ssy

Zu 1.: Ja, ich habe den Link gefunden und damit mein Problem gelöst. Gepostet habe ich den Link aber nicht für mich. Mein Verständnis eines Forums beinhaltet das Teilen von Wissen mit mündigen Anderen und für eben diese war der Link gedacht.

Das ist auch nett von dir gemeint gewesen. Aber als Betreiber dieses Forums ist es meine Aufgabe, übergeordnete Interessen abzuwägen. Und das Interesse, nicht die Sicherheit von Nutzern zu gefährden, ist um ein Vielfaches größer als das Interesse, einen Link zu verbreiten, den ohnehin kein Endnutzer als Quelle nutzen sollte, nur weil es ihn gibt.

Zitat von ssy

Zu 2.: M.M.n. ist es nicht die Aufgabe von Forumadministratoren Mitglieder vor sich selbst zu schützen ("schlechte Ideen"). Schon der (ernstgemeinte?) Versuch erscheint mir absurd[1].

Ich kann nur hoffen, dass du mit dem Link nicht ernsthaft versuchst, mich zu beleidigen („Dummheit“), nur weil dir eine Entscheidung nicht gefällt. Aber selbstverständlich ist es die Aufgabe eines seriösen und verantwortungsbewussten Supports, Tipps in bester Absicht für den Nutzer zu geben und dementsprechend zu handeln. Und das schließt ausdrücklich nicht nur mich als Admininstrator ein, sondern auch alle Mitglieder dieser ehrenamtlichen Support-Gemeinschaft.

Zitat von ssy

Ist es nicht vielmehr Sinn eines Forums, dabei zu helfen, dass Mitglieder mittels Austausch von Gedanken, Meinungen und Erfahrungen selbst eine informierte Entscheidung treffen können[2]?

Erstens ist das hier kein belangloses „Laber-Forum“, sondern die größte und wichtigste Support-Plattform zu Firefox im deutschsprachigen Raum. Auf das, was wir hier raten, müssen sich Menschen verlassen können. Wir tragen eine Verantwortung und müssen daher höhere Ansprüche haben als es beispielsweise bei Reddit der Fall wäre. Zweitens hast du von mir einen Input erhalten, der dir dabei helfen sollte, eine informierte Entscheidung zu treffen. Was du damit machst, bleibt dir überlassen. Drittens benötigt es für eine informierte Entscheidung nicht den Link auf den Download. Der Download ist der Schritt, nachdem bereits eine Entscheidung getroffen worden ist. Deine Argumentation passt also nicht.

Zitat von ssy

Die "Idee" ein "google-freies-Handy" mit aktuellem LineageOS und firefox aus "offiziellen Quellen" zu nutzen ist meiner Meinung nach nicht "schlecht". Es gibt bei jeder "idee" Vor- und Nachteile, aber diese zu beurteilen und dann zu entscheiden, sollte m.M.n. dem Nutzer vorbehalten sein.

Natürlich entscheidet das der Nutzer selbst. Wer hat das in Frage gestellt? Und war es nicht gerade noch deine eigene Aussage, es ginge um den Austausch mit dem Ziel einer begründeten Entscheidung? Nichts anderes als einen Denkansatz hast du diesbezüglich erhalten.

Zitat von ssy

Weder 1. noch 2. rechtfertigen m.M.n. die Löschung von Teilen meines Posts.

Das kannst du in deinem eigenen Forum gerne anders handhaben. Hier interessiert es mich ehrlich gesagt nicht, ob du das doof findest. Denn hier geht es nicht um dich, sondern um andere Nutzer. Für die Entfernung des Links gab es eine nachvollziehbare Begründung.

Ich verweise neben den bereits genannten Paragraphen auch noch auf § 2.9 Moderation von Beiträgen, § 3.1 Entscheidungen des Teams sowie § 3.2 Verhalten bei Nicht-Einverständnis mit einer Entscheidung - wonach ich mir die ganze Diskussion eigentlich auch hätte sparen können. Aber ich hoffe wohl unterbewusst noch auf wachsendes Verständnis für die Situation…

Zitat von ssy

Ich rate ausdrücklich davon ab Windows oder Apple zu nutzen.
Ist aber nur meine Meinung.

Hauptsache dir ist klar, dass du mit unsachlichen und kindischen Äußerungen dieser Art deine Glaubwürdigkeit reduzierst und damit automatisch auch deine anderen Aussagen abwertest. Würde ich nicht machen…