Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz Das schweizerische Signaturgesetz (ZertES) ist die gesetzliche Grundlage für qualifizierte digitale Signaturen - siehe dazu http://www.admin.ch/ch/d/sr/c943_03.html. Inhaltsverzeichnis: 1 Zuverlässige Signaturprüfung von PDF-Dokumenten...2 2 Signatur in unsichtbarem Signaturfeld...3 3 Signaturprüfung ohne OPENLiMiT Plug-in...5 4 Signaturprüfung mit OPENLiMiT...6 5 Einstellungen für die Verwendung des OPENLiMiT Plug-Ins via Proxy-Server...8 6 Prüfung der digitalen Signatur durch das OPENLiMiT Plug-In sicherstellen...9 7 Notwendige Einstellungen in Acrobat Reader 6.x für SHAB-PDF-Dateien...10 8 Vertrauenswürdige Aussteller digitaler Zertifikate...11
Anleitung zur Prüfung qualifizierter elektronischer Signaturen Seite 2 / 11 1 Zuverlässige Signaturprüfung von PDF-Dokumenten Um die Signatur in PDF-Dokumenten vollständig und fehlerfrei zu prüfen, werden folgende Anforderungen an die installierte Software gestellt: Voraussetzungen für PC s mit Microsoft Windows: Aktuelle Version des Adobe Acrobat Reader Version 7.0.5 oder Adobe Acrobat Version 7.0.5 (oder höher). Diese Software kann unter http://www.adobe.ch/ kostenlos bezogen und unter den folgenden Betriebssystemen verwendet werden: Windows 2000 SP 2 oder höher Windows XP Home Windows XP Professional Windows XP Tablet PC Edition Achtung: Benutzer des Adobe Acrobat Reader Version 6.x beachten bitte die Konfigurationsanleitung unter Kapitel 7! Zusätzlich die aktuelle Version des OPENLiMiT Reader (SignCube PDF Plugin) für den Acrobat Reader, da dessen Funktionalitäten die spezifischen Signatur-Anforderungen nach schweizerischem Recht (ZertES) noch nicht vollständig berücksichtigt. Diese Software von OPENLiMiT kann unter http://reader.openlimit.com/olrd20sch.exe ebenfalls kostenlos bezogen werden. Hinweis: Installieren Sie Adobe Acrobat Reader vor dem Plug-in von OPENLiMiT! Voraussetzungen für PC s mit Mac OS X (Apple): Aktuelle Version des Adobe Acrobat Reader Version 7.0 oder Adobe Acrobat Version 7.0 Professional (oder höher). Diese Software kann unter http://www.adobe.ch/ kostenlos bezogen und unter den folgenden Betriebssystemen verwendet werden: Mac OS X Versionen 10.2.8, 10.3 oder 10.4 (Tiger) Hinweis: Zur Acrobat Reader Version für Mac OS X ist bisher noch kein signaturspezifisches Plug-in verfügbar. Die Details einer qualifizierten digitalen Signatur sind deshalb auf Apple Rechnern vorerst nur via Acrobat Reader in allgemeiner Form sichtbar.
Anleitung zur Prüfung qualifizierter elektronischer Signaturen Seite 3 / 11 2 Signatur in unsichtbarem Signaturfeld Am Beispiel der PDF-Dokumente des Schweizerischen Handelsamtsblatts (SHAB) wird aufgezeigt, wie die so genannte unsichtbare Signatur, welche die Lesbarkeit der digital signierten Publikationen nicht einschränkt, sondern sich vorerst in einem hinterlegten Signaturfeld als Zusatzinformation verbirgt überprüft werden kann. Im geöffneten PDF-Dokument ist diese Signaturinformation über den speziellen seitlichen Reiter Unterschriften zugänglich: Reiter führt zur unsichtbaren Signatur im PDF-Dokument. Symbol in der Statusleite mit allgemeinen Informationen zur enthaltenen Signatur.
Anleitung zur Prüfung qualifizierter elektronischer Signaturen Seite 4 / 11 Zusätzlich ist in der Statusleiste das nachfolgend abgebildete Symbol ersichtlich; sobald es vom Cursor (Mauszeiger) berührt wird, erscheint folgender Hinweistext: Wird der Reiter Unterschriften angeklickt, erscheint folgendes Bild: Dieser Reiter führt zur hinterlegten Signaturinformation. Positives Ergebnis der Signaturprüfung (Haken-Symbol). Merke: Falls vor dem Text Unterschrieben von ein grünes Haken-Symbol angezeigt wird, ist die Signatur gültig. Die Integrität einer signierten Datei kann also durch die Signaturprüfung bewiesen werden. Das heisst, wenn eine Signatur gültig geprüft wird, dann ist sichergestellt, dass die Daten seit dem Signaturzeitpunkt nicht verändert wurden.
Anleitung zur Prüfung qualifizierter elektronischer Signaturen Seite 5 / 11 3 Signaturprüfung ohne OPENLiMiT Plug-in Wir empfehlen die Signaturprüfung von qualifizierten Signaturen mit dem OPENLiMiT Reader durchzuführen. Falls Sie trotzdem die Signatur ohne OPENLiMiT prüfen wollen, siehe dazu separates Dokument Anleitung zur Prüfung von fortgeschrittenen elektronischen Signaturen
Anleitung zur Prüfung qualifizierter elektronischer Signaturen Seite 6 / 11 4 Signaturprüfung mit OPENLiMiT Um ein qualifiziert signiertes SHAB-PDF-Dokument korrekt verifizieren zu können, wird das Plug-In von OPENLiMit benötigt. Diese Software kann gratis unter folgender Adresse bezogen werden: http://reader.openlimit.com/olrd20sch.exe Installation des Plug-Ins via Netzwerk oder Arbeitsplatz-PC (Dauer des Downloads 10 15 Minuten) Erneute Prüfung des Dokuments wie nachfolgend dargestellt: 2. Reiter öffnen und Unterschriften prüfen 3. Es erscheint folgendes Dialogfeld 1. Diese Zeile markieren Anwählen der Schaltfläche Daten anzeigen öffnet den SignCubes Viewer 1. Anwählen dieser Schaltfläche zeigt die PDF-Detailinhalte 2. Es erscheint folgendes Dialogfeld 3. Die Schaltfläche Alle Texte offenbart die hinterlegten Daten.
Anleitung zur Prüfung qualifizierter elektronischer Signaturen Seite 7 / 11 1. Die Schaltfläche Zeigen lässt den Publikationsinhalt in Textform erscheinen.
Anleitung zur Prüfung qualifizierter elektronischer Signaturen Seite 8 / 11 5 Einstellungen für die Verwendung des OPENLiMiT Plug-Ins via Proxy- Server Falls Ihr PC über ein Netzwerk via Proxy-Server kommuniziert, übernimmt der OPENLiMiT Plug-in die Einstellungen des Web-Browsers für den Internet Zugriff um eine Onlineabfrage oder die CRL herunterladen zu können. In den meisten Fällen sind also keine zusätzlichen Konfigurationsschritte mehr nötig. Funktioniert der Zugriff auf das Internet für den CRL Update nicht, müssen Sie Ihre netzwerkspezifischen Proxy-Einstellungen überprüfen, bevor Sie die digitale Signatur einer PDF-Datei vollständig erfolgreich überprüfen können. Kann die Proxy-Konfiguration nicht automatisch ausgelesen werden, muss der entsprechende Proxy-Server explizit definiert sein. Die dazu notwendigen Angaben erhalten Sie vom zuständigen Netzwerkadministrator. Folgende Eintragungen sind notwendig: Im Internet Explorer: Extras -> Internetoptionen -> Verbindungen -> LAN Einstellungen -> Proxyserver aktivieren -> [Adresse] und [Port] Ihres eigenen PROXY eintragen wenn nötig beim Netzwerkadministrator nachfragen.
Anleitung zur Prüfung qualifizierter elektronischer Signaturen Seite 9 / 11 6 Prüfung der digitalen Signatur durch das OPENLiMiT Plug-In sicherstellen Prüfen Sie wie folgt, ob das Plug-in von OPENLiMiT im Adobe Acrobat Reader 7.x als Standard- Viewer zur Verifikation digitaler Dokumentunterschriften verwendet wird: Im Adobe Acrobat Reader (ab 7.x) Bearbeiten -> Grundeinstellungen <CTRL-K> -> Sicherheit -> Erweiterte Grundeinstellungen -> OPENLiMiT SignCubes PDF Plugin 2.0.1.1
Anleitung zur Prüfung qualifizierter elektronischer Signaturen Seite 10 / 11 7 Notwendige Einstellungen in Acrobat Reader 6.x für SHAB-PDF-Dateien Falls Sie qualifiziert signierte SHAB-PDF-Dateien mit Acrobat Reader Version 6.x öffnen möchten, müssen Sie zuvor die nachfolgend beschriebene Konfigurationsanpassung vornehmen: Anpassung der Konfiguration Reader starten (Doppelklick auf Symbol oder via Menü Start -> Programme <CRTL-K> (oder Bearbeiten -> Grundeinstellungen ) -> Digitale Unterschriften: Die Option Beim Öffnen des Dokuments Unterschrift prüfen nicht anwählen! Diese Option nicht anwählen! Merke: Die Deaktivierung dieser Funktionalität muss vor dem Öffnen eines Dokuments erfolgen. Digitale Signaturen werden anschliessend nicht mehr pro Datei online überprüft. Ist die Option Beim Öffnen des Dokuments Unterschrift prüfen markiert, können qualifiziert signierte PDF-Dateien mit Acrobat Reader Version 6.x leider nicht fehlerfrei geöffnet werden, da diese Softwareversion die notwendige Zertifikatskette nicht erfolgreich nachbilden kann.
Anleitung zur Prüfung qualifizierter elektronischer Signaturen Seite 11 / 11 8 Vertrauenswürdige Aussteller digitaler Zertifikate Einem digitalen Zertifikat kann nur dann vertraut werden, wenn es von einer vertrauenswürdigen Stelle ausgestellt wurde. Gemäss schweizerischem Signaturgesetz werden die von einer akkreditierten Anerkennungsstelle zertifizierten Dienstanbieter für qualifizierte Signaturen auf der Internetseite der Schweizerischen Akkreditierungsstelle (SAS) publiziert. Die Liste der zertifizierten Dienstanbieter kann unter folgender Adresse eingesehen werden: http://www.sas.ch/de/pki_isms/pki.html Einem zertifizierten Dienstanbieter aus der Schweiz kann grundsätzlich vertraut werden. Bei anderen Dienstanbietern ist die jeweilige CP (Certification Policy) des Anbieters zu prüfen, damit eine Aussage über die Prozesse zur Identifikation einer Person und die Haftung gemacht werden kann. Im Zertifikat sollte ein Link zur CP des Dienstanbieter stehen. Das Schweizerische Handelsamtsblatt realisiert die qualifizierte digitale Signatur der täglich anfallenden SHAB-Publikationen in Zusammenarbeit mit dem zertifizierten Schweizer Dienstanbieter Swisscom Solutions AG. Das entsprechende CP kann unter folgender Adresse eingesehen werden: http://www.swisstrustcert.ch