Discussion:
PDF richtig signieren
(zu alt für eine Antwort)
Thomas Steinbach
2009-12-18 20:36:55 UTC
Permalink
Hallo,

gibt es irgendwo ein HowTo, wie man ein PDF Dokument
richtig signiert und gibt es sowas wie offizielle Server, bei
denen man als Privatmann ein solche Signatur (Zertifikat?) hinterlegen
(bekommen?) kann? Quasi in Analogie zu Signaturen von PGP/GnuPG
fuer email und diversen Servern wo man seinen Schluessel hinterlegt? Also
kostenfrei fuer Privatman/Student, etc.
Stichwort: Elektronische Signatur und PKI. etc.
Wenn ich selbst danach suche, dann werde ich allerdings vor Fuelle
von Informationen erschlagen. Suche da mehr sowas wie ein HowTo.

Thomas
Christian Zietz
2009-12-18 21:09:27 UTC
Permalink
Post by Thomas Steinbach
gibt es irgendwo ein HowTo, wie man ein PDF Dokument
richtig signiert
Definiere "richtig". Du kannst in Adobe Acrobat ein selbst-signiertes
Zertifikat erzeugen lassen oder ein beliebiges X.509-Signaturzertifikat
im PKCS.12-Format importieren und kannst dann damit Dokumente signieren.
Allerdings ...
Post by Thomas Steinbach
und gibt es sowas wie offizielle Server, bei
denen man als Privatmann ein solche Signatur (Zertifikat?) hinterlegen
(bekommen?) kann?
... brauchst Du, damit der Reader des Empfängers die Signatur als
vertrauenwürdig akzeptiert, ohne dass der Empfänger zuvor entweder Dein
Zertifikat oder das der von Dir verwendeten Zertifizierungsstelle
importieren muss, ein Signaturzertifikat, dessen Zertifizierungskette
bei der "Adobe Root CA" beginnt.

Ob es entsprechende Zertifikate kostenlos gibt, entzieht sich meiner
Kenntnis, vermutlich lassen sich das Firmen wie Verisign jedoch gut
bezahlen.

Christian
--
Christian Zietz - CHZ-Soft - czietz (at) gmx.net
WWW: http://www.chzsoft.com.ar/
PGP/GnuPG-Key-ID: 0x6DA025CA
Thomas Steinbach
2009-12-18 21:33:46 UTC
Permalink
Hallo Christian,
Post by Christian Zietz
Post by Thomas Steinbach
gibt es irgendwo ein HowTo, wie man ein PDF Dokument
richtig signiert
Definiere "richtig". Du kannst in Adobe Acrobat ein selbst-signiertes
Zertifikat erzeugen lassen oder ein beliebiges X.509-Signaturzertifikat
im PKCS.12-Format importieren und kannst dann damit Dokumente signieren.
Allerdings ...
ja du hast recht. Mit der Art und (oben als "richtig"
beschriebenen) Weise meine ich hier ein _nicht_ Adobe
abhaengiges signieren.

Ich habe quasi ein PDF Dokument (btw: mit LaTeX erstellt)
und das will ich nun signieren. So halt dass es auch Sinn macht
und nicht nur ein "Dummy" signieren ist.
Post by Christian Zietz
Post by Thomas Steinbach
und gibt es sowas wie offizielle Server, bei
denen man als Privatmann ein solche Signatur (Zertifikat?) hinterlegen
(bekommen?) kann?
... brauchst Du, damit der Reader des Empfängers die Signatur als
vertrauenwürdig akzeptiert, ohne dass der Empfänger zuvor entweder Dein
Zertifikat oder das der von Dir verwendeten Zertifizierungsstelle
importieren muss, ein Signaturzertifikat, dessen Zertifizierungskette
bei der "Adobe Root CA" beginnt.
ja, mit einer kostenpflichtigen Zertifizieruzngsstelle kann man als
Privatmann oder Schueler/Student nicht viel anfangen.
Post by Christian Zietz
Ob es entsprechende Zertifikate kostenlos gibt, entzieht sich meiner
Kenntnis, vermutlich lassen sich das Firmen wie Verisign jedoch gut
bezahlen.
Das mit Sicherheit und schliesst solche Unternehmen schonmal aus.
Ich denke da eher an sowas wie die Server die die PGP/GnuPG
Schluessel fuer email hosten. Gibt es sowas oder kann man gar diese
dafuer verwenden? Wie?

Thomas
Christian Zietz
2009-12-18 21:58:43 UTC
Permalink
Post by Thomas Steinbach
ja du hast recht. Mit der Art und (oben als "richtig"
beschriebenen) Weise meine ich hier ein _nicht_ Adobe
abhaengiges signieren.
Ich wüsste nicht, was am Signieren mit Acrobat falsch wäre. Ich denke
mal, es gibt auch andere Software, da ich aber Acrobat besitze, habe ich
mich mit Alternativen nicht beschäftigt.
Post by Thomas Steinbach
Ich denke da eher an sowas wie die Server die die PGP/GnuPG
Schluessel fuer email hosten. Gibt es sowas oder kann man gar diese
dafuer verwenden? Wie?
Ein X.509-Zertifikat funktioniert ein bisschen anders als ein
GnuPG-Schlüssel. So existiert nur ein begrenzte Anzahl von
Stammzertifizierungsstellen, denen die Software vertraut. Im Falle des
Adobe Readers z.B. nur die "Adobe Root CA". Dann gibt es eine
Zertifikatskette, die quasi das Vertrauen weitervererbt. D.h. die Adobe
Root CA unterschreibt das Zertifikat von Verisign, Verisign
unterschreibt dann Dein Zertifikat. Damit wird Dein Zertifikat als
vertrauenswürdig angesehen. Es gibt jetzt aber vermutlich nur eine Hand
voll Zertifizierungsstellen, die das Vertrauen von Adobe haben und Dir
entsprechende Schlüssel ausstellen können.

Natürlich kannst Du ein Dokument auch mit einem Zertifikat
signieren/zertifizieren, das nicht auf die Adobe Root CA zurückführbar
ist. Dann hält der Reader das Dokument jedoch nicht für
vertrauenswürdig. (Meldung z.B.: "Die Gültigkeit der
Dokumentenzertifizierung ist UNBEKANNT.") Der Empfänger des Dokuments
kann jedoch direkt Dein Zertifikat oder das Deiner Zertifizierungsstelle
als vertrauenswürdig markieren, dann verschwindet diese Meldung. Für
Dokumente, die nur im kleinen Personenkreis zirkuliert werden, ist das
sicher eine Alternative zu einem teueren offiziellen Zertifikat.

Christian
--
Christian Zietz - CHZ-Soft - czietz (at) gmx.net
WWW: http://www.chzsoft.com.ar/
PGP/GnuPG-Key-ID: 0x6DA025CA
Thomas Steinbach
2009-12-19 00:24:59 UTC
Permalink
Hallo Christian,
Post by Christian Zietz
Post by Thomas Steinbach
ja du hast recht. Mit der Art und (oben als "richtig"
beschriebenen) Weise meine ich hier ein _nicht_ Adobe
abhaengiges signieren.
Ich wüsste nicht, was am Signieren mit Acrobat falsch wäre. Ich denke
mal, es gibt auch andere Software, da ich aber Acrobat besitze, habe ich
mich mit Alternativen nicht beschäftigt.
ich meine nicht dass signieren mit Acrobat falsch ist. Das
habe ich nicht gesagt.
Aber ich denke es sollte da halt etwas unabhaengiges existieren.
Und dann auch eben was kostenfreies. Das Acrobat Product ist
fuer einen Privatmann, Schueler oder Studenten viel zu teuer.
Gerade wo elektronische (PDF) Dokumente als Ersatz fuer das
gedruckte wissenschaftliche Werk dienen, muesste man sich
ja ueberlegen wie man dieses unterschreibt. Dafuer extra
Acrobat kaufen, empfinde ich nicht als besonders gute Loesung
und wird sich so auch nie durchsetzen. Allerdings weiss ich auch
nicht wie das an Universitaeten momentan gehandhabt wird. Ich
denke aber dass "rechtsverbindlich" ausschliesslich die ausgedrukten
und handschriftlich signierten Werke sind.
Post by Christian Zietz
Post by Thomas Steinbach
Ich denke da eher an sowas wie die Server die die PGP/GnuPG
Schluessel fuer email hosten. Gibt es sowas oder kann man gar diese
dafuer verwenden? Wie?
Ein X.509-Zertifikat funktioniert ein bisschen anders als ein
GnuPG-Schlüssel. So existiert nur ein begrenzte Anzahl von
[...]
Sowas muesste man als "freie" Version umsetzen, wenn es
dass noch nicht gibt. Auch in Hinblick auf alternative PDF Produkte
oder halt um dem Privatmann/Schueler/Studenten eine solche
Signaturmeoglichkeit anzubieten. Eben allen, die nicht soviel
Geld uebrig haben.

Thomas
Christian Zietz
2009-12-19 10:22:52 UTC
Permalink
Post by Thomas Steinbach
Sowas muesste man als "freie" Version umsetzen, wenn es
dass noch nicht gibt.
Was meinst Du damit? Du kannst auch jetzt schon kostenlose Zertifikate
für die Signatur verwenden.
Signaturen, die der Adobe Reader in der Grundeinstellung als
vertrauenswürdig ansieht, gibt es hingegen nur von wenigen kommerziellen
Anbietern. Wie willst Du das ändern?
Post by Thomas Steinbach
oder halt um dem Privatmann/Schueler/Studenten eine solche
Signaturmeoglichkeit anzubieten.
Du kannst ja Deine PDF-Datei mit GnuPG signieren, wenn Dir das
sympatischer ist.

Christian
--
Christian Zietz - CHZ-Soft - czietz (at) gmx.net
WWW: http://www.chzsoft.com.ar/
PGP/GnuPG-Key-ID: 0x6DA025CA
Robert Kochem
2009-12-26 13:15:48 UTC
Permalink
Post by Thomas Steinbach
ich meine nicht dass signieren mit Acrobat falsch ist. Das
habe ich nicht gesagt.
Aber ich denke es sollte da halt etwas unabhaengiges existieren.
Und dann auch eben was kostenfreies. Das Acrobat Product ist
fuer einen Privatmann, Schueler oder Studenten viel zu teuer.
Wenn man ein PDF-Dokument nur signieren will muss man nicht den Acrobat
einsetzen. Es gibt verschiedene kostenlose/OpenSource-Programme und
-Bibliotheken die das können.

z.B.
https://sourceforge.net/projects/opensignature/files/opensignpdf/
http://private.sit.fraunhofer.de/~stotz/software/jpdfsign/
http://itextpdf.sourceforge.net/howtosign.html

Damit bleibt aber das "Zertifikatsproblem", d.h. dass der Adobe Reader
standardmäßig nur Zertifikate von Adobe als gültig anerkennt. Selbst die
unter Windows installierten PKI-Root-Zertifikate werden standardmäßig nicht
akzeptiert (lässt sich aber in den Einstellungen ändern).

Robert
Thomas Steinbach
2009-12-30 02:39:47 UTC
Permalink
Hallo Robert,
Post by Robert Kochem
[...]
Wenn man ein PDF-Dokument nur signieren will muss man nicht den Acrobat
einsetzen. Es gibt verschiedene kostenlose/OpenSource-Programme und
-Bibliotheken die das können.
z.B.
https://sourceforge.net/projects/opensignature/files/opensignpdf/
http://private.sit.fraunhofer.de/~stotz/software/jpdfsign/
http://itextpdf.sourceforge.net/howtosign.html
Super Tips. Danke fuer die Links
Post by Robert Kochem
Damit bleibt aber das "Zertifikatsproblem", d.h. dass der Adobe Reader
standardmäßig nur Zertifikate von Adobe als gültig anerkennt. Selbst die
unter Windows installierten PKI-Root-Zertifikate werden standardmäßig nicht
akzeptiert (lässt sich aber in den Einstellungen ändern).
Es gibt ja auch noch Foxit [1] und andere Reader, die auch wesentlich
schlanker sind. Wie diese das handhaben weiss ich jetzt nicht, vermute
aber dass diese aehnlich wie der Acrobat Reader vorkonfiguriert sind
und erstmal nur Adobe CA und eigene erlauben.

Thomas

[1] http://www.foxitsoftware.com/downloads/index.php
Christian Zietz
2009-12-30 10:58:32 UTC
Permalink
Post by Thomas Steinbach
Es gibt ja auch noch Foxit [1] und andere Reader, die auch wesentlich
schlanker sind.
Ich habe weder im Foxit Reader noch im PDFXChange Viewer Pro die
Möglichkeit gefunden, eine Signatur zu verifizieren. Und selbst wenn es
sie gäbe, bleibt das Problem: Wenn Du signierte Dokumente außerhalb
eines kleinen Benutzerkreises verteilen willst, brauchst Du IMO ein
Zertifikat, das auch der Adobe Reader in der Standardkonfiguration
akzeptiert.

Was meinst Du, was sonst die Leser Deiner Dokumente denken, wenn sie
gleich erst einmal gewarnt werden, die Gültigkeit der Unterschrift sei
unbekannt?

Christian
--
Christian Zietz - CHZ-Soft - czietz (at) gmx.net
WWW: http://www.chzsoft.com.ar/
PGP/GnuPG-Key-ID: 0x6DA025CA
Markus Wichmann
2009-12-30 12:36:19 UTC
Permalink
Post by Christian Zietz
Post by Thomas Steinbach
Es gibt ja auch noch Foxit [1] und andere Reader, die auch wesentlich
schlanker sind.
Ich habe weder im Foxit Reader noch im PDFXChange Viewer Pro die
Möglichkeit gefunden, eine Signatur zu verifizieren.
Wenn man sie irgendwie extrahieren könnte, könnte man sie durch openssl
verify schicken, aber ich hab dafür noch keine Möglichkeit gefunden.
Selbst das sonst so mächtige pdftk ist keine Antwort.
Post by Christian Zietz
Und selbst wenn es
sie gäbe, bleibt das Problem: Wenn Du signierte Dokumente außerhalb
eines kleinen Benutzerkreises verteilen willst, brauchst Du IMO ein
Zertifikat, das auch der Adobe Reader in der Standardkonfiguration
akzeptiert.
Was meinst Du, was sonst die Leser Deiner Dokumente denken, wenn sie
gleich erst einmal gewarnt werden, die Gültigkeit der Unterschrift sei
unbekannt?
Selbst, wenn das Zertifikat nicht von Adobe kommt: Wenn es gültig sein
soll, muss es von einer bekannten Root-CA kommen, und die wollen Geld
sehen, oder Wahlweise nen Personalausweis. Bei Thawte bekommt man damit
schon ein Zertifikat auf den eigenen Namen, _aber_ nur wenn man eine
bestimmte Anzahl Punkte in deren Web of Trust erhält, und dafür muss man
zu mehreren Notaren fahren, die bei denen registriert sind. Und
wenigstens hier in der Gegend (ca. Leipzig) gibt es nicht genug Notare.

VeriSign will Geld sehen. $2695 um genau zu sein. Das Zertifikat gilt
dann zwei Jahre. Dann dürften es wieder genauso viele Moneten sein, die
dafür draufgehen.
Post by Christian Zietz
Christian
Tschö,
Markus
--
Progress (n.): Process through which USENET evolved from smart people in
front of dumb terminals to dumb people in front of smart
terminals.

--- news://freenews.netfront.net/ - complaints: ***@netfront.net ---
Christian Zietz
2009-12-30 13:24:38 UTC
Permalink
Post by Markus Wichmann
Selbst, wenn das Zertifikat nicht von Adobe kommt: Wenn es gültig sein
soll, muss es von einer bekannten Root-CA kommen, und die wollen Geld
sehen, oder Wahlweise nen Personalausweis.
Das spezielle Problem bei der Signatur von PDF-Dateien ist allerdings,
dass der Adobe Reader in der Standardkonfiguration *nur* Zertifikate
akzeptiert, deren Zertifikatkette mit Adobes CA beginnt. D.h. die
kostenlosen/günstigen Zertifikate, die man als Privatperson durchaus für
E-Mails oder HTTPS erhält, sind -- in der Standardkonfiguration --
genauso wertlos wie ein selbstsigniertes Zertifikat.

Christian
--
Christian Zietz - CHZ-Soft - czietz (at) gmx.net
WWW: http://www.chzsoft.com.ar/
PGP/GnuPG-Key-ID: 0x6DA025CA
Robert Kochem
2009-12-30 15:18:12 UTC
Permalink
Post by Markus Wichmann
Bei Thawte bekommt man damit
schon ein Zertifikat auf den eigenen Namen, _aber_ nur wenn man eine
bestimmte Anzahl Punkte in deren Web of Trust erhält, und dafür muss man
zu mehreren Notaren fahren, die bei denen registriert sind.
Falsche Zeit - bei Thawte *gab* es Zertifikate auf den Namen. Das Thawte
WoT wurde im Oktober/November vollständig eingestellt. Selbst noch
existierende Zertifikate sind glaube ich nicht mehr gültig.

Robert
Markus Wichmann
2009-12-30 20:49:31 UTC
Permalink
Post by Robert Kochem
Falsche Zeit - bei Thawte *gab* es Zertifikate auf den Namen. Das Thawte
WoT wurde im Oktober/November vollständig eingestellt. Selbst noch
existierende Zertifikate sind glaube ich nicht mehr gültig.
Robert
So much for that... meine Info war leicht angestaubt.

Tschö,
Markus
--
Progress (n.): Process through which USENET evolved from smart people in
front of dumb terminals to dumb people in front of smart
terminals.

--- news://freenews.netfront.net/ - complaints: ***@netfront.net ---
Ralf Döblitz
2009-12-31 19:36:26 UTC
Permalink
Christian Zietz <***@chzsoft.com.ar> schrieb:
[...]
Post by Christian Zietz
Was meinst Du, was sonst die Leser Deiner Dokumente denken, wenn sie
gleich erst einmal gewarnt werden, die Gültigkeit der Unterschrift sei
unbekannt?
Wenn sie wenigstens rudimentäres Wissen haben: gar nichts böses. Denn in
Deutschland sind im Geschäftsverkehr nur qualifizierte digitale Signatu-
ren relevant und das Root-CA-Cert der Bundesnetzagentur ist per default
nicht im Adobe-Reader installiert (und bei den anderen wohl auch nicht).
Man wird es also gewohnt sein, daß man erstmal das Zertifikat der CA
überprüfen und installieren muß (oder man hat es schon drin, dann gibt
es auch kein Gemaule). Schließlich *müssen* digital signierte Rechnungen
bei Eingang verifiziert werden (in DE).

Ralf (BTDT)
--
Ralf Döblitz * Schapenstraße 6 * 38104 Braunschweig * Germany
Phone: +49-531-2361223 Fax: +49-531-2361224 mailto:***@doeblitz.net
Homepage: http://www.escape.de/users/selene/
Mit UTF-8 kann man gleichzeitig äöüßÄÖÜæœłø‱¼½¾¤¹²³¢€£¥¶§¬÷×±©®™¡¿ verwenden…
Robert Kochem
2010-01-06 17:09:44 UTC
Permalink
Post by Robert Kochem
Wenn man ein PDF-Dokument nur signieren will muss man nicht den Acrobat
einsetzen. Es gibt verschiedene kostenlose/OpenSource-Programme und
-Bibliotheken die das können.
Nachtrag:

Ich sehe gerade das selbst die PDF-Druckertreibertools anfangen die
Möglichkeit zum Signieren einzubauen:

Beispiel: PDFCreator kann seit v0.9.9 Signature erzeugen. Ist aber etwas
versteckt in den Ganzen Einstellungen und arbeitet nicht mit Signaturen aus
dem Windows-Zertifikatsspeicher sondern nur mit pkcs12-Dateien.

Robert
Frank Heindörfer
2010-01-09 18:45:47 UTC
Permalink
Post by Robert Kochem
Beispiel: PDFCreator kann seit v0.9.9 Signature erzeugen. Ist aber etwas
versteckt in den Ganzen Einstellungen und arbeitet nicht mit Signaturen aus
dem Windows-Zertifikatsspeicher sondern nur mit pkcs12-Dateien.
Das kann er bereits seit der Version 0.9.8.
Dazu kann man sich ein kostenloses Zertifikat zum Signieren von
cacert.org holen (falls das Sinn macht und die Kunden ein Zertifikat
dieser Zertifizierungsstelle akzeptieren).

Frank

Ralf Döblitz
2009-12-20 14:20:32 UTC
Permalink
Post by Thomas Steinbach
Hallo,
gibt es irgendwo ein HowTo, wie man ein PDF Dokument
richtig signiert
In Deutschland meinst damit wohl die "qualifizierte digitale Signatur",
durch die das digitale Dokument rechtlich einem Diokument in Schriftform
gleichwertig wird.
Post by Thomas Steinbach
und gibt es sowas wie offizielle Server, bei denen man als Privatmann
ein solche Signatur (Zertifikat?) hinterlegen (bekommen?) kann?
Alle akkreditierten Anbieter, die Liste ist bei der Bundesnetzagentur
einsehbar:
<http://www.bundesnetzagentur.de/enid/89ae1ddc2899113190ee4d9c05151e10,0/Qualifizierte_elektronische_Signatur/Zertifizierungsdiensteanbieter_ph.html>
Post by Thomas Steinbach
Quasi in Analogie zu Signaturen von PGP/GnuPG fuer email und diversen
Servern wo man seinen Schluessel hinterlegt? Also kostenfrei fuer
Privatman/Student, etc.
Kostenfrei ist wertlos. Eine Signatur bitet nur dann einen Mehrwert,
wenn der Anwender dadurch eine Vorteil gegenüber einem unsignierten
Dokument hat. Außerhalb geschlossener Nutzergruppen wirst du das in
Deutschland nur mit der qualifizierten digitalen Signatur gemäß
Signaturgesetz haben - und die gibt es zumindest bisher noch nicht
kostenlos.

Aber im November 2010 soll der neue elektronische Personalausweis
kommen, der auch Träger für Signaturzertifikate sein kann - hoffen wir
mal, daß man dann auch als nicht-gewerblicher Endanwender preiswert so
ein Zertifikat erhalten kann.

Ralf
--
Ralf Döblitz * Schapenstraße 6 * 38104 Braunschweig * Germany
Phone: +49-531-2361223 Fax: +49-531-2361224 mailto:***@doeblitz.net
Homepage: http://www.escape.de/users/selene/
Mit UTF-8 kann man gleichzeitig äöüßÄÖÜæœłø‱¼½¾¤¹²³¢€£¥¶§¬÷×±©®™¡¿ verwenden…
Loading...