Das Experiment mit der Digitalen Signatur Dieses Dokument (die PDF-Version) soll hier mit einer Elektronischen Unterschrift versehen werden Auf den folgenden Seiten sind die Arbeitsschritte beschrieben, bis zur Verifikation der Unterschrift beim Empfänger des Dokuments Dr. E. Mumprecht Dr. M. Rennhard 13. Juli 2005 Dr. E. Mumprecht DigSig-Experiment 1
1. Präliminarien Ich erstelle ein Dokument und produziere daraus eine PDF-Datei Ich öffne das Dokument mit Adobe Acrobat Wir schauen uns ein paar Konfigurationseinstellungen des Acrobat an: Bearbeiten Grundeinstellungen:Sicherheit Erweiterte Grundeinstellungen Erweitert Sicherheitseinstellungen Digitale IDs Erweitert Vertrauenswürdige Identitäten Zertitikate Standardmethode für die Signatur. Sie soll das SignCubes-Adobe-Plugin verwenden. Da sind meine Zertifikate (aus dem Windows-Speicher) zu sehen. Ich kann das für meine Signatur zu verwendende Z. hier definieren. Dahin gehörten dann vielleicht die Root-Zertifikate, denen ich explizit Vertrauen schenke. Dr. E. Mumprecht DigSig-Experiment 2
2. Unterschrift leisten Die Funktion unterschreiben kommt zunächst mit der Frage nach der Zertifizierung des Dokuments. Man müsste/könnte hier das Original-Formular als Herausgeber signieren. Unterzeichnung fortsetzen verlangt zuerst das Setzen eines Unterschriftsrahmens, und schreitet dann zu... Unterschrift auf Dokument anwenden Hier erhalte ich mein Signaturzertifikat offeriert Ferner kann ich die Ansicht der Digitalen Signatur nach meinem Gusto anpassen und Zusatzinformation einbringen. Zum Schliessen dieses Dialogs wähle ich... Unterschreiben und speichern unter... Und jetzt kommt die technische Erstellung der Digitalen Signatur Dr. E. Mumprecht DigSig-Experiment 3
3. Erstellung der Digitalen Signatur Das SignCubes Plugin hat übernommen. Acrobat zeigt jetzt eine neue Darstellung des Unterschriftsfeldes Dr. E. Mumprecht DigSig-Experiment 4
4. Endlich: der Akt des Unterschreibens Ich klicke auf Unterschreiben, werde darauf hingewiesen, dass die Verwendung eines Kartenlesers mit separatem PinPad empfohlen sei (ist eigentlich Vorschrift für die qualifizierte Signatur). Ich tippe meine PIN für den Signaturschlüssel ein und......... erhalte eine neue Ansicht des Unterschriftsfeldes. Jetzt ist es eine geleistete Digitale Signatur. Diese Signatur wird hier allerdings bereits in Frage gestellt. Ein Mausklick auf das Fragezeichen bringt mich zur Überprüfung der Signatur. Dr. E. Mumprecht DigSig-Experiment 5
5. Überprüfung der Signatur Sofort meldet sich das SignCubes Plugin und sagt u.a. dass die aktuelle Sperrliste noch nicht konsultiert wurde. Dies kann man nun veranlassen mit der Betätigung von Onlinestatus Aufgrund der Anfrage beim OCSP Server der Certificate Authority und der entsprechenden Antwort entsteht schliesslich das ersehnte Resultat... und im Adobe Acrobat erscheint nun der grüne Haken beim Bild der Signatur. Dr. E. Mumprecht DigSig-Experiment 6
6. Was läuft beim Empfänger? Der Empfänger hat nur gerade den Adobe Reader. Er öffnet das erhaltene Dokument und...... auch hier erscheint das Fragezeichen beim Unterschriftsfeld. Jetzt ist der Adobe Reader allein, da ist kein anderer Signatur- Handler (Plugin). Es werden drei Eigenschaften rapportiert: Signatur passt zum Dokument Verbindung zum Vertrauens- Zertifikat fehlt Zeitangabe ist nicht weiter gesichert Dr. E. Mumprecht DigSig-Experiment 7
7. Explizites Etablieren der Vertrauens-CA Der Zertifikatspfad zu einer Root-CA ist zwar in Ordnung, das Root-Zertifikat aber nicht als vertrauenswürdig bekannt. (da hat der Adobe Reader noch ein kleines Problem) Also nehme ich dieses Root-Zertifikat ins Visier und deklariere es explizit als für mich vertrauenswürdig. Ein erneutes Überprüfen der Signatur auf dem Dokument ist jetzt erfolgreich. Von nun an werden alle digitalen Signaturen mit Zertifikaten, welche von dieser Trusted CA herausgegeben worden sind, als gut erkannt. Dr. E. Mumprecht DigSig-Experiment 8
Fazit Ganz schön kompliziert! Vorderhand ja. Doch die Sache wird sich relativ rasch zu einer akzeptablen Benützerfreundlichkeit durchmausern. Die Dokumente können ausfüllbare Formularfelder haben. Die Digitale Signatur umfasst auch diese Daten. Es lassen sich auch mehrere Signaturen anbringen. Die Geschichte (wer welchen Zustand des Dokuments unterschrieben hat) ist sauber ausgewiesen. Die Digitale Signatur funkioniert in ähnlichem Stil auch für andere Dateiformate (bsp. TIFF, XML). E-Mail-Signatur und -Verschlüsselung (S-MIME) wird lediglich mit fortgeschrittenen Zertifikaten gemacht. Ist je nach e-mail-system auch etwas einfacher in der Handhabung. Dr. E. Mumprecht DigSig-Experiment 9