PDF-Signatur, kostenfrei, mit Zeitstempel

Zu den mög­li­chen Ein­satz­zwe­cken von x.509 Zer­ti­fi­ka­ten gehört nicht nur das digi­ta­le Unter­schrei­ben von E‑Mail Nach­rich­ten, auch Office-Anwen­dun­gen bie­ten viel­fäl­ti­ge Mög­lich­kei­ten, zum Bei­spiel um sicher zu stel­len, dass Arbeits­ko­pien nicht unbe­rech­tigt ver­än­dert werden.

Für vie­le Anwen­der hoch­in­ter­es­sant dürf­te aber auch das Signie­ren von PDF-Datei­en sein. 
Seit Jah­ren sind in der Stan­dard­soft­ware „Acro­bat“ des Markt­füh­rers Ado­be [1] diver­se Optio­nen zur Signa­tur von PDF-Datei­en vorhanden:
— nor­ma­le Unterschrift
— Zer­ti­fi­zie­rungs­un­ter­schrift / kei­ne wei­te­ren Ände­run­gen zulässig
— Anbrin­gen von Zeit­stem­peln, um die Gül­tig­keit des Zer­ti­fi­kats zum Zeit­punkt der Signa­tur nachzuweisen.

Wer sich nach kos­ten­lo­sen oder kos­ten­güns­ti­ge­ren Alter­na­ti­ven hier­für umsieht, wird auf ein beschau­li­ches Ange­bot treffen.
Im Fol­gen­den wer­de ich kurz zwei Pro­gram­me vor­stel­len, zum einen das Open­So­ur­ce Pro­gramm Por­ta­b­le­Si­gner [2] sowie den für Pri­vat­an­wen­der kos­ten­freie Per­fect PDF Rea­der 5 [3] der Fir­ma soft xpansion.

1) Por­ta­b­le­Si­gner. Wird seit eini­gen Jah­ren kon­ti­nu­ier­lich wei­ter ent­wi­ckelt und bie­tet der­zeit eine ein­fa­che Mög­lich­keit zur Signa­tur von PDF-Datei­en. Als JAVA Anwen­dung ist das Pro­gramm platt­form­un­ab­hän­gig. Dies erkauft man sich mit dem Nach­teil, dass die Zer­ti­fi­ka­te der­zeit noch in Datei­form aus­ge­wählt wer­den müs­sen, und nicht aus dem Win­dows Zer­ti­fi­kats-Spei­cher aus­ge­le­sen wer­den können.

Lei­der bie­tet die­se gut gemach­te Soft­ware der­zeit kei­ne Mög­lich­keit, einen Zeit­stem­pel anzu­brin­gen. Über­haupt scheint dies mit den häu­fig in Open­So­ur­ce Anwen­dun­gen ver­wen­de­ten pdf-libra­ri­es schwie­rig zu sein, mir ist bis­her kein lauf­fä­hi­ges Bei­spiel bekannt, auch wenn es offen­bar Erfol­ge mit iText gibt.

2.) Per­fect PDF Rea­der. Pri­mär als kos­ten­lo­ser PDF-Betrach­ter gedacht, auf­bau­end auf der Platt­form der kos­ten­pflich­ti­gen (40–60 EUR) Appli­ka­tio­nen zur Nach­be­ar­bei­tung von PDFs, bie­tet die­se Anwen­dung in der Tat Mög­lich­kei­ten zur Signa­tur bestehen­der PDF-Datei­en nach allen Regeln der Kunst. Es kön­nen nor­ma­le Unter­schrif­ten, Zer­ti­fi­zie­run­gen und wahl­wei­se auch Zeit­stem­pel ange­bracht wer­den — ein Novum!
Die Zeit­stem­pel­funk­ti­on hat zwei Timestam­ping-Ser­ver vor­ein­ge­stellt, zum einen vom DFN sowie von Geo­trust. Letz­te­rer lie­fert Zeit­stem­pel aus, die sogar vom Ado­be Root CA signiert sind, was Pro­ble­me in Bezug auf die Über­prü­fung der Unter­schrif­ten im Ado­be Rea­der vermeidet.
Des Wei­te­ren ist auch eine Unter­stüt­zung für Zer­ti­fi­ka­te im Win­dows Zer­ti­fi­kats-Spei­cher vorhanden.

Da die Soft­ware die Spe­zi­fi­ka­ti­on recht streng aus­legt, müs­sen die x.509 Zer­ti­fi­ka­te über zwei Attri­bu­te ver­fü­gen: CERT_NON_REPUDIATION_KEY_USAGE(0x40) oder CERT_DIGITAL_SIGNATURE_KEY_USAGE(0x80). Wer kos­ten­lo­se Zer­tif­ka­te der Fa. Thaw­te ver­wen­det, soll­te die­se bei der Bean­tra­gung die „exten­si­ons“ manu­ell akti­vie­ren und nicht auf die „default“ Kon­fi­gu­ra­ti­on zurück­grei­fen. Andern­falls kann es pas­sie­ren, dass die Zer­ti­fi­ka­te von der Soft­ware nicht erkannt werden.

Alles in allem ist der „Per­fect PDF Rea­der“ in mei­nen Augen die der­zeit leis­tungs­fä­higs­te Free­ware zur PDF-Signa­tur. Ein gro­ßes Lob an den Her­stel­ler soft-xpan­si­on, dass er die Signa­tur­funk­ti­on auch in sei­nem kos­ten­lo­sen Pro­dukt bereit stellt, anders als es bei Wett­be­wer­bern bis­her üblich war.

Ein paar Wor­te noch zur Über­prü­fung der Unterschriften:
Vie­le Nut­zer von CAcert ken­nen sicher das lei­di­ge The­ma feh­len­der Root-Zer­ti­fi­ka­te. Bevor E‑Mails als gül­tig unter­schrie­ben gel­ten, müs­sen zuerst die Wur­zel­zer­ti­fi­ka­te instal­liert wer­den, dies ver­un­si­chert den Anwen­der und so wei­ter… Die gra­tis „Free­mail“ Zer­ti­fi­ka­te von Thaw­te bzw. dem Thaw­te Web-of-Trust wer­den immer­hin von Win­dows und gän­gi­gen E‑Mail Pro­gram­men bereits aner­kannt. Ado­be geht jedoch einen Schritt wei­ter und for­dert in der Stan­dard­ein­stel­lung des Ado­be-Rea­ders durch eine sog. Ado­be Root CA signier­te Zer­ti­fi­ka­te — die­se sind jedoch nur für sehr viel Geld erhält­lich (Bsp. [4]).

Um die­se Schran­ken ein wenig zu lockern, kann unter Win­dows fol­gen­de Ein­stel­lung gemacht wer­den: In den Optio­nen im Rei­ter „Sicher­heit“, „Erwei­ter­te Vor­ein­stel­lun­gen“ im Rei­ter „Win­dows-Inte­gra­ti­on“ kön­nen durch Aus­wahl aller Check­bo­xen die im Win­dows Zer­ti­fi­kats­spei­cher vor­han­de­nen Root-Zer­ti­fi­ka­te als ver­trau­ens­wür­dig hin­zu­ge­nom­men wer­den. Sofern das CAcert Root Zer­ti­fi­kat hier instal­liert ist, wer­den die PDF-Signa­tu­ren anschlie­ßend auch als voll­kom­men vali­de anerkannt.

Abschlie­ßend möch­te ich noch dar­auf hin­wei­sen, dass sich die genann­ten Pro­duk­te in Ver­bin­dung mit kos­ten­lo­sen Zer­ti­fi­ka­ten für frei­be­ruf­lich täti­ge Per­so­nen zwar gera­de­zu anbie­ten, um Rech­nun­gen ganz modern als PDF zu ver­schi­cken. Die recht­li­che Sei­te ist hier aber noch nicht geklärt. Das Signa­tur­ge­setz (SigG) stellt sehr hohe Anfor­de­run­gen an die Zer­ti­fi­kats­her­aus­ge­ber, um einer hand­schrift­li­chen Unter­schrift gleich zu kom­men. Die gefor­der­te „Klas­se 3“, der die Zer­ti­fi­ka­te genü­gen müs­sen, setzt unter ande­rem die Ver­wen­dung einer Chip­kar­te vor­aus, da dies hier nicht gege­ben ist, wird eine der­ar­ti­ge „qua­li­fi­zier­te“ Signa­tur nicht erreicht. Eine Ein­stu­fung, ob das Web-of-Trust Pro­ze­de­re von Thaw­te und CAcert aller­dings einer „fort­schritt­li­chen Signa­tur“ (Klas­se 2) Rech­nung trägt, ist mir nicht bekannt.

Um die Authen­ti­zi­tät von PDF-Doku­men­ten sicher zu stel­len, rei­chen die hier vor­ge­stell­ten Lösun­gen aber alle mal!

[1] Ado­be Acro­bat, http://www.adobe.com/de/products/acrobat/?promoid=BPBAU
[2] Por­ta­b­le­si­gner, http://portablesigner.sourceforge.net/index-de.html
[3] Per­fect PDF Rea­der 5, http://de.soft-xpansion.eu/products/freeware/reader/
[4]:My Cre­den­ti­al for Ado­be, http://geotrust.com/signing-products/document-signing/individual/


Beitrag veröffentlicht

in

von

Schlagwörter: