A-CERT Certification Service
A-CERT ADVANCED zur Signatur von pdf-Dateien und für Mails verwenden + Signatur prüfen
A-CERT ADVANCED erlaubt als offenes System den Einsatz in einer Fülle von Anwendungen - der Artikel beschreibt die spezifischen Anforderungen zum Signieren von PDF-Dateien (z.B. mittels Adobe Acrobat) und Mails (z.B. mittels Microsoft Outlook) - Onlineprüfung unter http://www.signaturpruefung.at/ oder https://pruefung.signatur.rtr.at/ möglich - Amtssignatur von PDF-Dokumenten unterliegt besonderen Anwendungen - Hinweise zu Problemen bei Nutzung von Adobe Acrobat *.*

Signieren von PDF-Dateien

PDF-Dateien können Sie mit spezifischen e-billing-Programmen, mit PDF-Druckerprogrammen und mit Adobe Acrobat Professional (ab 6.0) selbst signieren. Welches Programm für Sie optimal ist, hängt sowohl von der Zahl der ausgestellten Rechnungen als auch der eingesetzten IT-Plattform (Betriebssystem) und der internen Organisation ab.

Die von A-CERT ADVANCED ausgelieferte PKCS#12-Datei ist schon so konfiguriert, dass Sie nach Installation im Micrososft Zertifikatsspeicher (Doppelclick auf Datei, dann folgen Sie den Anweisungen), ohne weitere Anpassungen signieren können.


Unterschriftstypen

PDFs unterscheiden zwischen 2 Unterschriftstypen: Zertifizierungsunterschriften und normale Unterschriften. Ein Dokument kann nur mit einer Zertifizierungsunterschrift versehen werden, wenn dieses Dokument noch keine anderen Unterschriften enthält. Im Gegensatz zur normalen Unterschrift muss bei der Zertifizierungsunterschrift angegeben werden, Änderungen welchen Umfangs am Dokument zulässig sind, ohne die Unterschrift ungültig zu machen. Folgende Optionen sind möglich:
- Änderungen am Dokument nicht zulassen
- Nur Ausfüllen von Formularen in Dokument zulassen
- Nur Kommentare und Ausfüllen von Formularen in Dokument zulassen

Soll eine Rechnung nur von einer Person unterschrieben werden, empfehlen wir immer eine Zertifizierungsunterschrift mit der Option "Änderungen am Dokument nicht zulassen" zu verwenden. Sollen mehrere Personen unterschrieben, dann soll die erste Person eine Zertifizierungsunterschrift mit der Option "Nur Kommentare und Ausfüllen von Formularen in Dokument zulassen" anfertigen, alle nachfolgenden Personen können dann eine gewöhnliche Unterschrift anbringen. Es werden dann alle Unterschriften vom Adobe Acrobat Reader als gültig erkannt.


Warum Zertifizierungsunterschrift und nicht normale Unterschrift?

A-CERT empfiehlt, als Urheber eines Dokuments dieses immer mit einer zertifizierenden Unterschrift zu versehen. Beim Signieren eines Dokuments mittels einer normalen Unterschrift warnt Adobe Acrobat Professional 7.0 beim Überprüfen einer Unterschrift mit irreführenden Fehlermeldungen. Es wird angezeigt, dass "das Dokument nach dem Anbringen der Zertifizierung verändert oder beschädigt wurde" - auch wenn das Dokument nie mit einer Zertifizierungsunterschrift versehen wurde bzw. die einzige "Änderung" des Dokuments die aufgebrachte Unterschrift ist.


Verwendung von A-CERT TIMESTAMP Zeitstempeln mit Adobe Acrobat ab 7.0

Um der digitalen Unterschrift im PDF Dokument auch einen Zeitstempel hinzuzufügen, kann der A-CERT TIMESTAMP Dienst genutzt werden. Um A-CERT TIMESTAMP mit Adobe Acrobat ab 7.0 nutzen zu können, benötigen Sie zusätzlich zu Ihrem A-CERT ADVANCED Zertifikat einen kostenlosen Benutzeraccount bei A-CERT. Ein Benutzeraccount kann unter Angabe der A-CERT ADVANCED Zertifikatsnummer formlos per email an info@a-cert.at oder telefonisch angefordert werden.

Damit jeder Unterschrift automatisch ein Zeitstempel hinzugefügt wird, muss Adobe Acrobat ab 7.0 konfiguriert werden: Unter Erweitert->Sicherheitseinstellungen->Zeitstempelserver muss mit "Neu" ein Zeitstempelserver mit der Adresse https://timestamp.a-cert.at:11080 hinzugefügt werden. Unter Benutzername und Passwort sind Ihre A-CERT Benutzeraccountdaten einzutragen. Abschließen muss noch der neu hinzugefügte Eintrag markiert und mit Klick auf den Knopf "Standardeinstellung festlegen" als Standardserver festgelegt werden.

Jedem A-CERT ADVANCED Zertifikat stehen 50 kostenlose A-CERT TIMESTAMP Zeitstempel zur Verfügung. Mehr Informationen zu A-CERT TIMESTAMP finden Sie unter http://www.a-cert.at/php/cms_monitor.php?q=PUB-TEXT-A-CERT&s=...


Prüfen der PDF Signatur

Damit die Rechnungsempfänger die Unterschrift prüfen können, benötigen Sie die Software Adobe Reader (ab 6.0). Dieser muss für die Microsoft-Zertifikatsverwaltung korrekt konfiguriert werden, und eventuell muss das GLOBALTRUST Stammzertifikat einmalig installiert werden. Der Installationsvorgang ist bei der Microsoft-Zertifikatsverwaltung vollständig automatisiert, es ist nur die URL http://www.globaltrust.eu/static/globaltrust2006.crt aus dem Internet Explorer heraus aufzurufen und den Installationsanweisungen zu folgen. Für die richtige Konfiguration der Acrobat Reader wurde eine detaillierte Konfigurationsanleitung für Windows (https://secure.a-cert.at/static/pdf-konfigurieren.pdf), LINUX (https://secure.a-cert.at/static/pdf-konfigurieren-linux.pdf) und Mac OS (https://secure.a-cert.at/static/pdf-konfigurieren-mac.pdf) erstellt.

Die Konfigurationsanleitungen enthalten auch eine digitale Unterschrift, die nach erfolgreicher Anpassung von "ungültig"/"unbekannt" auf "gültig" wechseln sollte.

Die zum Zertifikat jeweils erforderliche CRL-Liste (Certificate Revocation List, Widerrufsliste) wird von Adobe automatisch verwendet, sofern Acrobat Zugriff auf das Internet ohne Umweg über einen Proxy, der Authentifizierung verlangt, hat. Eine unterschriebene Musterrechnung findet sich unter https://secure.a-cert.at/static/musterrechnung.pdf.


Hinweis(e) für Adobe-Benutzer unter Windows

Wir empfehlen das Download der Konfigurationsanleitung (https://secure.a-cert.at/static/pdf-konfigurieren.pdf) mittels Internet Explorer (Version egal). Auf diese Weise wird sichergestellt, dass Adobe und Windows dieselben Zertifikatsspeicher verwenden und auf den letzten Stand sind.


Onlineprüfung einer Signatur

Unter http://www.signaturpruefung.at/ oder https://pruefung.signatur.rtr.at/ besteht die Möglichkeit der Onlineprüfung von signierten Dokumenten. In diesem Fall muss der Rechnungsempfänger keinerlei Konfigurationen oder Installationen bei sich vornehmen.


Besondere Anforderungen der Amtssignatur von PDF-Dokumenten

Mit Amtssignatur versehende PDF-Dokumente (PDF-AS) unterliegen besonderen Spezifikationen, die von EGIZ, dem E-Governmentzentrum des Bundes herausgegeben wurden. Siehe https://demo.egiz.gv.at/plain/projekte/signatur_im_e_governme...


Signieren von S/MIME-Mails

Mails können mit allen S/MIME-fähigen Mailprogrammen (u.a. Outlook) signiert werden. S/MIME fügt dazu den kompletten Zertifizierungspfad einer Signatur dem Mail hinzu. Der Empfänger muss diesen Zertifizierungspfad bzw. die dazugehörigen Stammzertifikate beim ersten Mal als "vertrauenswürdig" akzeptieren.

Wenn Sie mit dem Versand von unterzeichneten Mailrechnungen beginnen, sollten Sie die Empfänger auf diese Notwendigkeit hinweisen.

Bei Microsoft XP oder Microsoft Vista werden A-CERT ADVANCED Zertifikate automatisch erkannt (es darf jedoch die Microsoft-Update-Funktion nicht blockiert sein).


Bekannte Probleme bei Adobe Acrobat 6.x und 7.x

Die A-CERT ADVANCED Zertifikate verwenden - wie international üblich - den UTF-8 Zeichensatz. Dieser erlaubt die Darstellung von Sonderzeichen und Umlauten. Dieser Zeichensatz ist seit Beginn 2004 für X.509v3-Zertifikate zwingend vorgesehen. Leider wurde diese internationale Norm von Adobe bisher nicht vollständig umgesetzt. Umlaute, wie ü können dann bei der Darstellung als "xC3xBC" oder "Ä1/4" erscheinen. Dies kann optisch als störend empfunden werden, es hat jedoch keinen nachteiligen Einfluss auf die Gültigkeit des Zertifikats bzw. der Signatur. Es ist zu erwarten das Adobe diese Probleme in Zukunft in Griff bekommt und dann werden alle Dokumente das richtige Schriftzeichen darstellen, auch die schon früher unterschriebenen Dokumente.


Bekannte Probleme und Fehler bei Adobe Acrobat 7.x

Acrobat Acrobat Professional 7.x zeigt beim Überprüfen einer normalen Unterschrift (Doppelklick auf Unterschriftsfeld), die gültig ist (und auch als GÜLTIG markiert ist), an, dass "das Dokument [...] nach dem Anbringen der Zertifizierung verändert oder beschädigt [wurde].". Dies ist eine irreführende Meldung, die von der fehlerhaften Implementation der Signaturprüfung bei Adobe herrührt. Die Meldung erscheint nicht, wenn zur Unterschriftsprüfung der Reiter "Unterschrift" am linken Rand des Dokuments geöffnet wird.

Wir empfehlen den Fehler auch an Adobe zu melden:
Technischer Kundendienst fon 0031 20 5820866, fax 0031 20 5820875 germants@adobe.com

Eine Behebung des Fehlers wurde zwar schon im April 2006 zugesagt (http://www.a-cert.at/static/adobe-stellungnahme.pdf), doch auch unter 7.0.8 wurde der Fehler nicht behoben. Unser Urgenzmail siehe unter http://www.a-cert.at/static/urgenz-060609.pdf

Weiters kann diese Falschmeldung umgangen werden, indem beim ersten Signieren eines Dokuments eine Zertifizierungsunterschrift anstelle einer normalen Unterschrift angebracht wird. Diese irreführende Meldung erscheint im übrigen nicht, wenn man statt dem deutschen Acrobat-Reader den englischen verwendet. Hier kommt in allen Fällen die Meldung "Document has not been modified since this signature was applied".

A-CERT ADVANCED erlaubt die sekundenaktuelle Online-Prüfung der Gültigkeit von Zertifikaten mittels OCSP (http://ocsp.a-cert.at). Ist in einem Zertifikat der OCSP-Server angegeben, dann versucht Adobe Acrobat 7.x automatische eine Verbindung zu diesem Server. Wenn jedoch keine Verbindung zum OCSP-Server möglich ist, erscheint eine Fehlermeldung ("Es konnte keine Sperrüberprüfung durchgeführt werden, um die Identität zum jetztigen Zeitpunkt zu validieren."). Sollte die Verbindung zum OCSP-Server nicht möglich sein, weil z.B. keine Online-Internetverbindung besteht oder weil die Firewall den Port 2560 nicht unterstützt (Port 2560 muss nur für einige ADVANCED-1 Zertifikate offen sein), dann sollte die Onlineprüfung ausgeschalten werden (Bearbeiten -> Grundeinstellungen -> Sicherheit -> Erweiterte Grundeinstellungen -> Überprüfen -> Das Feld "Beim Prüfen von Unterschriften nach Möglichkeit ..." nicht markieren).

In der Kombination Windows 7 und Adobe Acrobat Professional 7.0 (deutsche Version) wurde bei temporären Benutzeraccounts festgestellt, dass die Zertifikatsprüfung trotz richtiger Einstellungen in Adobe und dem Vorhandensein der Zertifikate in der Windows Zertifikatsverwaltung nicht funktionierte. Auf denselben System mit denselben temporären Benutzer funktionierte jedoch die Prüfung unter Adobe Acrobat Reader 9.0 (englische Version), weiters funktionierte die Prüfung auf denselben System auch unter einem permanenten Benutzer (Hauptbenutzer) von Windows 7 und Adobe Acrobat Professional 7.0 (deutsche Version).

Bekannte Probleme und Fehler bei Adobe Acrobat 9.4.x und Adobe Acrobat X

Da die Adobe Acrobat Versionen 9.4.x sowie X als DigestAlgorithm SHA256 (2.16.840.1.101.3.4.2.1) als SignaturAlgorithm jedoch sha1WithRSAEncryption (1.2.840.113549.1.1.5) verwenden kann es zu Problemen bei der Signaturprüfung kommen.

Während die Adobe Produkte derart erstellte Signaturen als korrekt erkennen, verweigert beispielsweise die RTR (https://pruefung.signatur.rtr.at/) aus Sicherheitsgründen (siehe dazu RFC 2313 (http://www.ietf.org/rfc/rfc2313.txt), Kap. 10.1.2 Note 1) die Signaturprüfung.

mehr --> A-CERT Policy inkl. aller Root Zertifikate
mehr --> Dokumentation Adobe Acrobat - Signaturprüfung bei pdf-Dateien konfigurieren (Apple/Mac OS)
mehr --> Dokumentation Adobe Acrobat - Signaturprüfung bei pdf-Dateien konfigurieren (LINUX)
mehr --> Dokumentation Adobe Acrobat - Signaturprüfung bei pdf-Dateien konfigurieren (Microsoft)
mehr --> Digitale Signaturen Online prüfen
mehr --> Spezifikationen zur PDF-Amtssignatur (PDF-AS)
mehr --> Digitale Signaturen Online prüfen
mehr --> A-CERT TIMESTAMP - Zeitstempeldienst ab Adobe Acrobat 7.0 nutzen
Archiv --> A-CERT ADVANCED - Produkte zur Signatur von pdf-Dateien

Die angezeigten Informationen sind ausschliesslich zur persönlichen Nutzung im Rahmen der A-CERT Zertifizierungsdienste bestimmt. Beachten Sie die gültige Certificate Policy. GLOBALTRUST® ist die EU-weit registrierte Marke der ARGE DATEN, die angebotenen Zertifizierungsdienste werden gemäß Signaturgesetz betrieben. Die Verwendung des A-CERT Logos ist nur Inhabern von gültigen A-CERT Zertifikaten oder nach ausdrücklicher schriftlicher Genehmigung gestattet. Vertrieb und technische Betreuung erfolgt durch unseren Kooperationspartner e-commerce monitoring gmbh Irrtum vorbehalten.

A-CERT /  ®GLOBALTRUST 2002-2014powered by e-commerce monitoring gmbh  impressum  agb  webmaster
Datenschutz, Privatsphäre, Privacy, Informationsrecht, Datensicherheit, Inhouse-Schulung, Datenschutzbeauftragter, DSB, Österreich, Austria, Wien, Internet, Telekommunikation, Personendaten, Auftraggeber, Dienstleister, datenschutz-seminar.at, privacy-day.at, privacyday.at, Cloud Computing, datenschutz-seminare, Vorratsdatenspeicherung, Vorratsspeicherung, datenschutz tag, hacking, hacker, Whistleblowing, RFID, social media, Web 2.0, Web2.0, informationelle Selbstbestimmung, datenschutz tagung, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect, Video Surveillance, CCTV