Adobe a Systems GmbH Georg-Brauchle-Ring 58 D-80992 München www.adobe.de Tipps & Tricks: Sicherheitseinstellungen in Adobe Acrobat vom einfachen Kennwort bis zur Qualifizierten Elektronischen Signatur Die Sicherheit von elektronischen Prozessen hängt zu einem Großteil von der Sicherheit der im Prozess genutzen elektronischen Dokumenten ab. Klassische Sicherheitskonzepte sind in dieser Beziehung oft unvollständig und basieren auf der Absicherung der Übertragunsgkanäle (z.b. durch VPN-Verbindungen, https-zugriffe auf Portale etc.). Der eigentlich transportierte Inhalt liegt jedoch spätestens dann wieder unverschlüsselt vor, wenn das Dokument beim Empfänger zur Bearbeitung ansteht. Dann besteht die Gefahr, dass die Dokumente und Informationen beabsichtigt oder unbeabsichtigt (z.b. durch Trojaner) an unberechtigte Empfänger weitergeleitet wird. Ein wirksamer Dokumentenschutz gehört in das Dokument selbst und muss die fundamentalen Anforderungen wie Echtheit, Vollständigkeit, Zugriffskontrolle, (Rechts-)Verbindlichkeit und Vertraulichkeit bis auf Teilinhalte erfüllen können. Die übliche Vorgehensweise ist der der Schutz der Dokumente durch Kennwörter. Das ist jedoch nicht immer ausreichend bzw. erfordert Sorgfalt bei der Wahl der Schutzvarianten. Daher wird auch gelegentlich in der IT-Fachpresse und im Internet auf Werkzeuge zum Umgehen einiger Sicherheitseinstellungen in Adobe PDF-Dokumenten hinweisen. Diese Thematik ist nicht neu, allerdings ist sie deutlich vielschichtiger, als sie vermuten läßt. Zudem gibt es eine ganze Palette von Möglichkeiten, verschiedenste Schutzmechanismen in PDF-Dokumenten anzuwenden. Im folgenden werden kurz die Möglichkeiten und die jeweiligen Merkmale beschrieben, mit denen Sie PDF Inhalte wirksam schützen und kontrollieren können: 1. Einfache Dokumentenrechte (Änderungen etc.) 2. Passwortschutz zum Öffnen des Dokumentes (mit Verschlüsselungsvarianten) 3. Zertifikatsbasierte Verschlüsselung 4. Policy-basierte Dokumentenkontrolle 5. Kontrolle durch Adobe Designer 6. Kombination mit Elektronischer Signatur 7. Einbetten von Metadaten Nur bei der einfachsten und teilweise auch historischen Methode zum Einschränken von Benutzerrechten können externe Tools die Voreinstellungen ignorieren oder umgehen. Der Wunsch vieler Kunden waren erweiterte Schutzmöglichkeiten von PDF-Dokumenten, möglichst bis zur vollständigen Kontrolle einzelner Dokumente und ihrer Anwender (Umfeld DRM, Rechteverwertung etc.). Seit vielen Jahren bieten wir dazu Komponenten an, seit Acrobat 7.0 auch in einer sehr modernen und für den Anwender bequemen Variante in Form des Adobe LiveCycle Policy Servers.
Zu 1.: Einfache Dokumentenrechte Hier können Sie einzelne Zugriffsfunktionen auf ein PDF-Dokument einschränken (Druck, Copy&Paste etc.). Diese Einschränkungen werden durch ein Passwort geschützt. Das Dokument selbst wird hierbei nicht(!) verschlüsselt, es werden sinngemäß nur Attribute verändert. In der Dokumentation und auch im Produkt selbst weisen wir deutlich darauf hin, dass alle Adobe Produkte natürlich diese Attribute respektieren, nicht unbedingt jedoch Drittanbieterprodukte. Screenshot aus Acrobat 7.0: Warnhinweis Zu 2.: Passwortschutz Wenn Sie sich entscheiden, das Dokument mit einem Passwort gegen unberechtigtes Öffnen zu schützen, wird das Dokument verschlüsselt abgelegt. Je nach eingestellter Kompatibilität zu älteren Acrobat Versionen werden entsprechende Verschlüsselungsstärken angeboten. Die für Acrobat 3.0 kompatible 40- Bit RC4 Verschlüsselung aus dem Jahre 1999 gilt heute nicht mehr als sicher. Höhere Stufen bieten jedoch einen wesentlich besseren Schutz. Externe Knackprogramme können einen solchen Schutz nicht einfach entfernen, es bleibt nur der Angriff über Brute-Force oder Dictionary-Attacken. Bei einem sicher gewählten Passwort (>8 Zeichen, kein normales Wort) benötigen solche Programme nach dem heutigen Stand der Technik oft Jahrhunderte bis deutlich länger, um den Kennwortschutz zu entfernen. Damit lassen sich die gewählten Dokumentenrechte wirkungsvoller durchsetzen.
Screenshot 2: Auswahl der Kompatibilität und damit Verschlüsselungsalgorithmen Natürlich erfordert die Kennwortverteilung/-verwaltung einen etwas höheren Aufwand. Zu 3.: Zertifikatsbasierte Verschlüsselung Wesentlich granulierter, also z.b. personen- und gruppenbezogen, können Sie die Zugriffsrechte bei Verwendung von Zertifikaten festlegen. Falls Sie Ihre Nutzer kennen (davon gehe ich bei einer Art Abonnementmodell oder Intranet-/Extanetlösung aus), könnten Sie für sie entsprechende Zertifikate ausstellen (kompatibel zu den üblichen Public/Private Key Verfahren, PGP oder ähnlichem). Wir selbst liefern ausserdem in Acrobat alle Werkzeuge für die Erstellung solcher Digitaler Identitäten mit, incl. Schlüsselverwaltung, Mailversand etc. Sie befinden sich damit etwa auf dem Niveau einer einfachen Signatur oder PGP-Umgebung mit Softwarezertifikaten. Eine Anbindung an Verzeichnisdienste oder auch an eine PKCS#11 Schicht (SmartCard) ist bereits eingebaut. Sie können also ein und dasselbe Dokument für einzelne Nutzer in den Rechten einschränken (je Benutzter auch unterschiedlich) und verschlüsselt übertragen. Zum Öffnen muss der Anwender seinen lokalen, privaten Schlüssel verwenden. Natürlich haben Sie auch hier, wie unter 2., einen erhöhten Aufwand, in diesem Fall für die Zertifikatsverwaltung.
Screenshot aus Acrobat 7.0: Varianten der Sicherheitseinstellungen
Zu 4.: Policy-basierte Dokumentenkontrolle Um die Nachteile der Variante 3. zu umgehen, bieten wir ab Adobe Acrobat 7.0/Adobe Reader 7.0 die Möglichkeit zum Einsatzes eines zentralen Adobe LiveCycle Policy Server an. Dieser Server verwaltet alle Richtlinien (Policies) zur Nutzung von Dokumenten, erweitert um Dinge wie Nutzungsdauer, Einschränken der Laufzeit, Zurückziehen von Berechtigungen ohne Neuverteilung von Dokumenten etc. Der Server bindet sich an vorhandene LDAP oder Active Directory Verzeichnisse an und verschlüsselt grundsätzlich das PDF-Dokument vor der Verteilung. Zur Nutzung muss sich ein Adobe Reader Anwender zunächst online am Policy Server identifizieren. Erst, wenn die Policy ihm Zugriff genehmigt, wird das Dokument entschlüsselt und angezeigt. Auch eine Offline-Nutzungsdauer lässt sich einstellen, damit sich der Anwender nicht jedesmal online anmelden muss. Bei dieser Variante sparen Sie sich die Zertifikatsverwaltung. Für den Anwender ist das die bequemste Variante. Zu 5.: Kontrolle durch Adobe Designer Im Lieferumfang von Adobe Acrobat Professional 7.0 und 8.0 befindet sich der Adobe Designer. Ursprünglich gedacht zum Entwerfen von PDF-Formularen hat er den Nebeneffekt, dass die erzeugten PDF-Dateien intern in einem moderneren (XML-nahen) Format generiert sind. Die üblichen Knacktools funktionieren hier nicht. Zu 6.: Kombination mit Elektronischer Signatur Sie können alle obigen Varianten um eine elektronische Signatur des Dokumentes erweitern. So können Sie jede Manipulation eindeutig nachweisen. Viele Kunden setzen das Verfahren ein, um ihren Nutzern garantieren zu können, dass sie keine unvollständigen oder veränderten Dokumente erhalten (Anti- Phishing). Acrobat erlaubt eine Anbindung an nahezu beliebige PKI-Strukturen zur Nutzung einer Signaturumgebung. Selbst die hohen Anforderungen an eine Qualifizierte Elektronische Signatur nach Signaturgesetz werden in Kombination mit den zertifizierten und bestätigten Plugins/Komponenten der Fa. OPENLiMiT (www.openlimit.de) erfüllt. Zu 7.: Einbettung von Metadaten Eine Einbettung von Metadaten wie z.b. Abonnentennummer, Username, IP-Adressen erlauben eine Rückverfolgung im Missbrauchsfalle. Eine Kopie der Datei wird zwar nicht verhindert, jedoch lassen sich die Spuren bequem zurückverfolgen. Das umfasst sogar steganografisch eingebettete Metadaten in Bildinformationen (Drittanbieterlösung). Wenn Sie Ihre Nutzer offiziell darauf hinweisen, dass Sie sichtbare und unsichtbare Metadaten einbetten, wird allein aus psychologischen Gründen ein Missbrauch stark reduziert, da niemand mehr sicher sein kann, einer Rückverfolgung zu entgehen. Peter Körner Adobe Systems GmbH Sr. Strategic Business Development Manager Enterprise Technologies