Stand: 6. April 2026
Version: 1.0.0
Kategorie: Plugins
Datum: 21. November 2025
Feature: Signatur-Verifikation für plugin.json Manifeste
Zweck: Sicherstellung der Integrität von Plugin-Manifesten
ThemisDB verwendet eine Signatur-Verifikationsstrategie für Plugin-Manifeste (plugin.json), ähnlich wie für YAML-Konfigurationsdateien. Dies verhindert Manipulation von Plugin-Metadaten.
Entwicklungsmodus (Debug Build):
- Signaturen optional
- Warnung bei fehlenden Signaturen
- Warnung bei Hash-Mismatch, aber Plugin wird trotzdem geladen
- Erleichtert Entwicklung und Tests
Produktionsmodus (Release Build):
- Signaturen erforderlich
- Plugin wird nicht geladen ohne gültige Signatur
- Verhindert Manipulation und Supply-Chain-Angriffe
- Strikte Validierung
Die Signatur-Datei enthält den SHA256-Hash des Manifests:
a1b2c3d4e5f6789012345678901234567890abcdefabcdefabcdefabcdefabcd
Eigenschaften:
- Einzeilige Datei
- 64 Hex-Zeichen (SHA256-Hash)
- Keine zusätzlichen Metadaten
- Einfach zu generieren und verifizieren
# Einzelnes Manifest signieren
python tools/sign_plugin_manifest.py plugins/blob/filesystem/plugin.json
# Output:
# ✓ Generated signature for plugins/blob/filesystem/plugin.json
# SHA256: a1b2c3d4e5f6...
# Signature file: plugins/blob/filesystem/plugin.json.sig# SHA256-Hash berechnen
openssl dgst -sha256 -hex plugin.json | awk '{print $2}' > plugin.json.sigsha256sum plugin.json | awk '{print $1}' > plugin.json.sigDer PluginManager verifiziert Manifeste automatisch beim Laden:
// Beim Scannen von Plugins
auto& pm = PluginManager::instance();
pm.scanPluginDirectory("./plugins"); // Verifiziert alle plugin.json automatischVerifikationsschritte:
- Prüfe ob
plugin.json.sigexistiert - Lese erwarteten Hash aus
.sigDatei - Berechne tatsächlichen Hash von
plugin.json - Vergleiche Hashes
- Bei Mismatch: Fehler (Produktion) oder Warnung (Entwicklung)
Erfolgreiche Verifikation:
[INFO] Manifest signature verified: ./plugins/blob/filesystem/plugin.json
Fehlende Signatur (Produktion):
[ERROR] Manifest signature file not found: ./plugins/blob/filesystem/plugin.json.sig
Hash-Mismatch (Produktion):
[ERROR] Manifest signature verification failed: hash mismatch
Expected: a1b2c3d4...
Actual: f9e8d7c6...
Warnung (Entwicklung):
[WARN] Manifest signature file not found (development mode): ./plugins/blob/filesystem/plugin.json.sig
plugins/
├── blob/
│ ├── filesystem/
│ │ ├── plugin.json # Manifest
│ │ ├── plugin.json.sig # ✅ Signatur (SHA256)
│ │ ├── themis_blob_fs.dll # Binary (Windows)
│ │ ├── themis_blob_fs.so # Binary (Linux)
│ │ └── themis_blob_fs.dylib # Binary (macOS)
│ └── webdav/
│ ├── plugin.json
│ ├── plugin.json.sig # ✅ Signatur
│ └── themis_blob_webdav.dll
└── importers/
└── postgres/
├── plugin.json
├── plugin.json.sig # ✅ Signatur
└── themis_import_pg.dll
Vorteile:
- ✅ Einfach zu generieren
- ✅ Schnelle Verifikation
- ✅ Keine Zertifikat-Infrastruktur nötig
- ✅ Schutz gegen Manipulation
Nachteile:
⚠️ Keine Authentifizierung (wer hat signiert?)⚠️ Keine Nicht-Abstreitbarkeit
Geplante Erweiterung:
// plugin.json.sig (JSON format)
{
"hash": "a1b2c3d4e5f6...",
"signature": "MIIBIjANBgkq...",
"certificate": "-----BEGIN CERTIFICATE-----...",
"issuer": "CN=ThemisDB Official Plugins, O=ThemisDB",
"timestamp": 1732176000
}Integration mit bestehendem System:
- Nutzt
storage/security_signature.h(SecuritySignature struct) - Nutzt
storage/security_signature_manager.h(RocksDB-basiert) - Nutzt
acceleration/plugin_security.h(PluginSignature)
# plugins/blob/filesystem/CMakeLists.txt
# Erstelle Binary
add_library(themis_blob_fs SHARED
filesystem_plugin.cpp
)
# Signiere Manifest nach Build
add_custom_command(TARGET themis_blob_fs POST_BUILD
COMMAND ${PYTHON_EXECUTABLE} ${CMAKE_SOURCE_DIR}/tools/sign_plugin_manifest.py
${CMAKE_CURRENT_SOURCE_DIR}/plugin.json
COMMENT "Signing plugin manifest: filesystem"
)# .github/workflows/build-plugins.yml
- name: Build Plugins
run: cmake --build build --target all
- name: Sign Plugin Manifests
run: |
python tools/sign_plugin_manifest.py plugins/blob/filesystem/plugin.json
python tools/sign_plugin_manifest.py plugins/blob/webdav/plugin.json
python tools/sign_plugin_manifest.py plugins/importers/postgres/plugin.json
- name: Verify Signatures
run: |
# Test in production mode
cmake -DCMAKE_BUILD_TYPE=Release ...
./bin/themis_server --verify-plugins// tests/test_plugin_manifest_signature.cpp
TEST(PluginManagerTest, ManifestSignatureVerification) {
// Create test manifest
std::string manifest_path = "./test_plugin.json";
createTestManifest(manifest_path);
// Generate signature
std::string hash = PluginManager::calculateFileHash(manifest_path);
std::ofstream sig(manifest_path + ".sig");
sig << hash << std::endl;
sig.close();
// Verify
std::string error;
PluginManager pm;
EXPECT_TRUE(pm.verifyManifestSignature(manifest_path, error));
}
TEST(PluginManagerTest, ManifestSignatureMismatch) {
std::string manifest_path = "./test_plugin.json";
createTestManifest(manifest_path);
// Wrong signature
std::ofstream sig(manifest_path + ".sig");
sig << "0000000000000000000000000000000000000000000000000000000000000000" << std::endl;
sig.close();
std::string error;
PluginManager pm;
#ifdef NDEBUG
EXPECT_FALSE(pm.verifyManifestSignature(manifest_path, error));
#else
EXPECT_TRUE(pm.verifyManifestSignature(manifest_path, error)); // Allowed in dev
#endif
}| Aspekt | YAML Config | JSON Manifest |
|---|---|---|
| Datei | config.yaml | plugin.json |
| Signatur-Datei | RocksDB (SecuritySignature) | plugin.json.sig (Datei) |
| Hash-Algorithmus | SHA256 | SHA256 |
| Speicherort | RocksDB (security_sig:*) | Filesystem (neben Manifest) |
| Verifikation | SecuritySignatureManager | PluginManager |
| Entwicklung | Optional | Optional |
| Produktion | Optional | Erforderlich |
Warum unterschiedlich?
- YAML: Zentrale Konfiguration → RocksDB-basiert
- JSON: Verteilte Plugins → Filesystem-basiert (portabel)
Lösung:
# Generiere Signatur
python tools/sign_plugin_manifest.py plugin.jsonUrsache: Manifest wurde nach Signierung geändert
Lösung:
# Neu signieren
python tools/sign_plugin_manifest.py plugin.jsonPrüfung:
# Prüfe ob Signatur existiert
ls -la plugin.json.sig
# Prüfe Hash
sha256sum plugin.json
cat plugin.json.sig
# Vergleiche-
Immer signieren vor Deployment
python tools/sign_plugin_manifest.py plugin.json
-
Signaturen in Version Control
- Committe
plugin.json.sigzusammen mitplugin.json - Nie nur Manifest ohne Signatur commiten
- Committe
-
CI/CD Automatisierung
- Automatisches Signieren im Build-Prozess
- Verifikation vor Package-Erstellung
-
Versionierung
- Bei Manifest-Änderung: Neu signieren
- Bei Version-Bump: Neu signieren
-
Security Audits
- Regelmäßige Prüfung aller Signaturen
- Rotation von Signatur-Schlüsseln (bei RSA/ECDSA)
include/plugins/plugin_manager.h- PluginManager Interfacesrc/plugins/plugin_manager.cpp- Verifikations-Implementationtools/sign_plugin_manifest.py- Signatur-Generatorinclude/storage/security_signature.h- Bestehende Signatur-Infrastrukturdocs/plugins/PLUGIN_MIGRATION.md- Plugin-System Architektur
Status: ✅ Implementiert
Version: 1.0.0
Nächste Schritte: RSA/ECDSA digitale Signaturen (optional)