jstc.de

Zum Inhalt springen

PDF-Signatur, kostenfrei, mit Zeitstempel

Aug 2009
30

Zu den mög­li­chen Ein­satz­zwe­cken von x.509 Zer­ti­fi­ka­ten gehört nicht nur das digi­ta­le Unter­schrei­ben von E-Mail Nach­rich­ten, auch Office-Anwen­dun­gen bie­ten viel­fäl­ti­ge Mög­lich­kei­ten, zum Bei­spiel um sicher zu stel­len, dass Arbeits­ko­pi­en nicht unbe­rech­tigt ver­än­dert wer­den.

Für vie­le Anwen­der hoch­in­ter­es­sant dürf­te aber auch das Signie­ren von PDF-Datei­en sein.
Seit Jah­ren sind in der Stan­dard­soft­ware „Acro­bat“ des Markt­füh­rers Ado­be [1] diver­se Optio­nen zur Signa­tur von PDF-Datei­en vor­han­den:
— nor­ma­le Unter­schrift
— Zer­ti­fi­zie­rungs­un­ter­schrift / kei­ne wei­te­ren Ände­run­gen zuläs­sig
— Anbrin­gen von Zeits­tem­peln, um die Gül­tig­keit des Zer­ti­fi­kats zum Zeit­punkt der Signa­tur nach­zu­wei­sen.

Wer sich nach kos­ten­lo­sen oder kos­ten­güns­ti­ge­ren Alter­na­ti­ven hier­für umsieht, wird auf ein beschau­li­ches Ange­bot tref­fen.
Im Fol­gen­den wer­de ich kurz zwei Pro­gram­me vor­stel­len, zum einen das Open­So­ur­ce Pro­gramm Por­ta­ble­Si­gner [2] sowie den für Pri­vat­an­wen­der kos­ten­freie Per­fect PDF Reader 5 [3] der Fir­ma soft xpan­si­on.

1) Por­ta­ble­Si­gner. Wird seit eini­gen Jah­ren kon­ti­nu­ier­lich wei­ter ent­wi­ckelt und bie­tet der­zeit eine ein­fa­che Mög­lich­keit zur Signa­tur von PDF-Datei­en. Als JAVA Anwen­dung ist das Pro­gramm platt­form­un­ab­hän­gig. Dies erkauft man sich mit dem Nach­teil, dass die Zer­ti­fi­ka­te der­zeit noch in Datei­form aus­ge­wählt wer­den müs­sen, und nicht aus dem Win­dows Zer­ti­fi­kats-Spei­cher aus­ge­le­sen wer­den kön­nen.

Lei­der bie­tet die­se gut gemach­te Soft­ware der­zeit kei­ne Mög­lich­keit, einen Zeits­tem­pel anzu­brin­gen. Über­haupt scheint dies mit den häu­fig in Open­So­ur­ce Anwen­dun­gen ver­wen­de­ten pdf-libra­ries schwie­rig zu sein, mir ist bis­her kein lauf­fä­hi­ges Bei­spiel bekannt, auch wenn es offen­bar Erfol­ge mit iText gibt.

2.) Per­fect PDF Reader. Pri­mär als kos­ten­lo­ser PDF-Betrach­ter gedacht, auf­bau­end auf der Platt­form der kos­ten­pflich­ti­gen (40–60 EUR) Appli­ka­tio­nen zur Nach­be­ar­bei­tung von PDFs, bie­tet die­se Anwen­dung in der Tat Mög­lich­kei­ten zur Signa­tur bestehen­der PDF-Datei­en nach allen Regeln der Kunst. Es kön­nen nor­ma­le Unter­schrif­ten, Zer­ti­fi­zie­run­gen und wahl­wei­se auch Zeits­tem­pel ange­bracht wer­den — ein Novum!
Die Zeits­tem­pel­funk­ti­on hat zwei Times­tam­ping-Ser­ver vor­ein­ge­stellt, zum einen vom DFN sowie von Geo­t­rust. Letz­te­rer lie­fert Zeits­tem­pel aus, die sogar vom Ado­be Root CA signiert sind, was Pro­ble­me in Bezug auf die Über­prü­fung der Unter­schrif­ten im Ado­be Reader ver­mei­det.
Des Wei­te­ren ist auch eine Unter­stüt­zung für Zer­ti­fi­ka­te im Win­dows Zer­ti­fi­kats-Spei­cher vor­han­den.

Da die Soft­ware die Spe­zi­fi­ka­ti­on recht streng aus­legt, müs­sen die x.509 Zer­ti­fi­ka­te über zwei Attri­bu­te ver­fü­gen: CERT_NON_REPUDIATION_KEY_USAGE(0x40) oder CERT_DIGITAL_SIGNATURE_KEY_USAGE(0x80). Wer kos­ten­lo­se Zer­tif­kate der Fa. Thaw­te ver­wen­det, soll­te die­se bei der Bean­tra­gung die „exten­si­ons“ manu­ell akti­vie­ren und nicht auf die „default“ Kon­fi­gu­ra­ti­on zurück­grei­fen. Andern­falls kann es pas­sie­ren, dass die Zer­ti­fi­ka­te von der Soft­ware nicht erkannt wer­den.

Alles in allem ist der „Per­fect PDF Reader“ in mei­nen Augen die der­zeit leis­tungs­fä­higs­te Free­ware zur PDF-Signa­tur. Ein gro­ßes Lob an den Her­stel­ler soft-xpan­si­on, dass er die Signa­tur­funk­ti­on auch in sei­nem kos­ten­lo­sen Pro­dukt bereit stellt, anders als es bei Wett­be­wer­bern bis­her üblich war.

Ein paar Wor­te noch zur Über­prü­fung der Unter­schrif­ten:
Vie­le Nut­zer von CAcert ken­nen sicher das lei­di­ge The­ma feh­len­der Root-Zer­ti­fi­ka­te. Bevor E-Mails als gül­tig unter­schrie­ben gel­ten, müs­sen zuerst die Wur­zel­zer­ti­fi­ka­te instal­liert wer­den, dies ver­un­si­chert den Anwen­der und so wei­ter… Die gra­tis „Free­mail“ Zer­ti­fi­ka­te von Thaw­te bzw. dem Thaw­te Web-of-Trust wer­den immer­hin von Win­dows und gän­gi­gen E-Mail Pro­gram­men bereits aner­kannt. Ado­be geht jedoch einen Schritt wei­ter und for­dert in der Stan­dard­ein­stel­lung des Ado­be-Readers durch eine sog. Ado­be Root CA signier­te Zer­ti­fi­ka­te — die­se sind jedoch nur für sehr viel Geld erhält­lich (Bsp. [4]).

Um die­se Schran­ken ein wenig zu lockern, kann unter Win­dows fol­gen­de Ein­stel­lung gemacht wer­den: In den Optio­nen im Rei­ter „Sicher­heit“, „Erwei­ter­te Vor­ein­stel­lun­gen“ im Rei­ter „Win­dows-Inte­gra­ti­on“ kön­nen durch Aus­wahl aller Check­bo­xen die im Win­dows Zer­ti­fi­kats­spei­cher vor­han­de­nen Root-Zer­ti­fi­ka­te als ver­trau­ens­wür­dig hin­zu­ge­nom­men wer­den. Sofern das CAcert Root Zer­ti­fi­kat hier instal­liert ist, wer­den die PDF-Signa­tu­ren anschlie­ßend auch als voll­kom­men vali­de aner­kannt.

Abschlie­ßend möch­te ich noch dar­auf hin­wei­sen, dass sich die genann­ten Pro­duk­te in Ver­bin­dung mit kos­ten­lo­sen Zer­ti­fi­ka­ten für frei­be­ruf­lich täti­ge Per­so­nen zwar gera­de­zu anbie­ten, um Rech­nun­gen ganz modern als PDF zu ver­schi­cken. Die recht­li­che Sei­te ist hier aber noch nicht geklärt. Das Signa­tur­ge­setz (SigG) stellt sehr hohe Anfor­de­run­gen an die Zer­ti­fi­kats­her­aus­ge­ber, um einer hand­schrift­li­chen Unter­schrift gleich zu kom­men. Die gefor­der­te „Klas­se 3“, der die Zer­ti­fi­ka­te genü­gen müs­sen, setzt unter ande­rem die Ver­wen­dung einer Chip­kar­te vor­aus, da dies hier nicht gege­ben ist, wird eine der­ar­ti­ge „qua­li­fi­zier­te“ Signa­tur nicht erreicht. Eine Ein­stu­fung, ob das Web-of-Trust Pro­ze­de­re von Thaw­te und CAcert aller­dings einer „fort­schritt­li­chen Signa­tur“ (Klas­se 2) Rech­nung trägt, ist mir nicht bekannt.

Um die Authen­ti­zi­tät von PDF-Doku­men­ten sicher zu stel­len, rei­chen die hier vor­ge­stell­ten Lösun­gen aber alle mal!

[1] Ado­be Acro­bat, http://www.adobe.com/de/products/acrobat/?promoid=BPBAU
[2] Por­ta­ble­si­gner, http://portablesigner.sourceforge.net/index-de.html
[3] Per­fect PDF Reader 5, http://de.soft-xpansion.eu/products/freeware/reader/
[4]:My Creden­ti­al for Ado­be, http://geotrust.com/signing-products/document-signing/individual/


Hinweise

WordPress-Theme von praegnanz.de.
Dankenswerterweise bereitgestellt von : Shop Hosting