Digitale IDs einbauen und nutzen mit Acrobat Reader oder Acrobat Pro
Laut https://www.pdf-insecurity.org/ werden digitale Unterschriften durch fast alle PDF-Reader, auch von Adobe, nicht korrekt überprüft. Es gibt zahlreiche verschiedene Möglichkeiten, diese PDF-Reader so auszutricksen, dass sie gefälschte Inhalte als echt anzeigen!
Leider liefert der Hersteller Adobe Systems seine Software Acrobat Reader und Acrobat Pro mit Einstellungen aus, welche die Nutzung unserer normalen Zertifikate zum digitalen Unterschreiben von PDF-Dokumenten explizit verhindern.
Es ist möglich, diese Einstellungen zu ändern. Allerdings müssen sowohl diejenigen, die PDF-Dokumente signieren möchten, als auch diejenigen, die die so erstellten PDF-Signaturen prüfen möchten, diese Einstellungsänderungen vornehmen.
Es gibt eine einfache Alternative: Signieren Sie nicht die PDF-Datei, sondern die E-Mail, mit der Sie die PDF-Datei versenden.
Diese Anleitung besteht aus vier Teilen:
- I. Wurzelzertifikate korrigieren
- II. Digitale ID importieren
- III. PDF-Datei digital unterschreiben
- IV. Digital unterschriebene PDF-Datei prüfen
Kontakt
I. Wurzelzertifikate korrigieren
Leider werden alle Wurzelzertifikate, auf denen unsere digitale IDs basieren, vom Adobe Acrobat Pro bzw. Adobe Acrobat Reader nicht akzeptiert.
Daher ist es nötig, die Wurzelzertifikate der infrage kommenden Aussteller digitaler IDs von Hand in die Acrobat-Software zu importieren und als vertrauenswürdig einzustellen.
Die nachfolgende Anleitung geht davon aus, dass Sie sowohl allen qualifizierten Signaturen nach der eIDAS-Verordnung der Europäischen Union als auch den im Rahmen der DFN-PKI verwendeten Wurzelzertifikaten als auch allen von der Firma Adobe ausgewählten Wurzelzertifikaten vertrauen möchten.
Eine sinnvolle Alternative wäre, nur den qualifizierten Signaturen und einzelnen ausgewählten Wurzelzertifikaten zu vertrauen. Dazu sollten Sie sämtliche Wurzelzertifikate löschen und anschließend nur die EUTL und die ausgewählten Wurzelzertifikate importieren, also nur den entsprechenden Teilen der nachfolgenden Anleitung folgen. Insbesondere sollte Sie dann die AATL nicht laden!
Schritt 1: Zertifikats-Dateien speichern
- AAA.crt (Zertifikat AAA Certificate Services)
- USERTrustRSA.crt (Zertifikat USERTrust RSA Certification Authority)
- GEANT_Personal_CA.crt (Zertifikat GEANT Personal CA 4)
- Ihr eigenes Nutzerzertifikat inklusive privatem Schlüssel, falls auf dem lokalen Rechner dieses noch nicht installiert ist (im PKCS#12-Format in einer .pfx-Datei; enthält privaten Schlüssel und Zertifikat).
Schritt 2: Einstellungen öffnen
Starten Sie Acrobat Reader oder Acrobat Pro. Im Menü „Bearbeiten“ klicken Sie auf den Punkt „Einstellungen“.
Alternativ können Sie auch Strg + K drücken.
Schritt 3: Wurzelzertifikate importieren
Zuerst sorgen Sie dafür, dass Acrobat Reader bzw. Acrobat Pro alle von der Firma Adobe und von der Europäischen Union ausgelieferten Wurzelzertifikate importiert.
Gehen Sie dazu auf jetzt aktualisieren bei "Vertrauenswürdige Zertifikate von einem Adobe-AATL-Server laden".
Nachdem die Sicherheitseinstellungen aktualisiert wurden, erhalten Sie eine Bestätigungsmeldung. Diese können Sie quittieren.
Das gleiche wiederholen Sie bei "Vertrauenswürdige Zertifikate von einem Adobe EUTL-Server laden".
Die erneut auftretende Bestätigungsmeldung, können Sie abermals quittieren.
Schritt 4: Entfernen Sie das Zertifikat USERTrust RSA Certification Authority:
Dieses Zertifikat lautet genauso wie unser eigenes Wurzelzertifikat, welches noch importiert wird. Es ist allerdings ein anderes Zertifikat (das erkennt man u.a. am Aussteller). Leider kann Adobe offensichtlich diese zwei Zertifikate nicht auseinanderhalten.
Öffnen Sie dazu unter Einstellungen das Menü "Unterschriften". Dort wählen Sie unter "Identitäten und vertrauenswürdige Zertifikate" die Option "Weitere..." aus.
Aus der langen Liste müssen Sie die USERTrust RSA Certification Authority heraussuchen, bevor Sie auf "Entfernen" klicken:
Bestätigen Sie die Sicherheitsmitteilung mit "OK".
Bei einer Aktualisierung der Adobe Approved Trust List würde diese Einstellung wieder überschrieben werden, daher muss diese Aktualisierung deaktiviert werden:
(Die European Union Trusted List enthält die Aussteller qualifizierter Signaturen nach der eIDAS-Verordnung der EU und sollte daher aktuell gehalten werden.)
Gehen Sie dazu unter Einstellungen zu den Menü "Vertrauensdienste". Bei "Vertrauenswürdige Zertifikate von einem Adobe-AATL-Server laden" müsste ein Häkchen gesetzt sein. Dieses können Sie entfernen.
Schritt 5: Importieren Sie das Wurzelzertifikat AAA Certificate Services und stellen das Vertrauen ein
Für das Importieren müssen Sie zunächst wieder unter "Unterschriften" und dort bei "Identitäten und vertrauenswürdige Zertifikate" "Weitere..." auswählen.
Navigieren Sie zur Spalte "Vertrauenswürdige Zertifikate".
Hier können Sie nach dem zu importierenden Zertifikat suchen.
Ein Dateibrowser öffnet sich. Suchen Sie in Ihren Dateien nach dem zuvor gedownloadeten AAA-Zertifikat und laden Sie dieses hoch.
Sie sollten das Zertifikat im oberen Fenster anklicken, um es im unteren Fenster einzutragen, es dann im unteren Fenster anklicken und nicht sofort importieren, sondern zuerst die Vertrauenswürdigkeit anpassen:
Manchmal erscheint ein Hinweis, denn Sie mit "OK" quittieren können.
Die Punkte "Dynamischer Inhalt", "Eingebettete JavaScripts mit hoher Berechtigungsstufe" und "Privilegierte Systemvorgänge (Netzwerk, Drucken, Dateizugriff usw.)" sollten Sie nicht aktivieren. Bei "Zertifizierte Dokumente" und "Dieses Zertifikat als vertrauenswürdigen Stamm verwenden" sollte jedoch ein Hacken gesetzt werden.
Nachdem das zuvor offene Fenster der Vertrauenswürdigkeitseinstellungen erfolgreich bearbeitet wurde, gelangen Sie zurück zu der Übersicht der zu importierenden Zertifikate. Sie können jetzt auf importieren klicken und das AAA-Zertifikat importieren.
Bei Erfolg erhalten Sie eine Meldung die Sie erneut mit "OK" quittieren können.
Sie sehen das Zertifikat jetzt in Ihrer Liste vertrauenswürdiger Zertifikate.
Schritt 6: Importieren Sie das Wurzelzertifikat USERTrust RSA Certification Authority und stellen das Vertrauen ein
Für das Importieren müssen Sie zunächst wieder unter "Unterschriften" und dort bei "Identitäten und vertrauenswürdige Zertifikate" "Weitere..." auswählen. Navigieren Sie jetzt zur Spalte "Vertrauenswürdige Zertifikate".
Hier können Sie nach dem zu importierenden Zertifikat suchen.
Ein Dateibrowser öffnet sich. Suchen Sie in Ihren Dateien nach dem zuvor gedownloadeten USERTrustRSA-Zertifikat und laden Sie dieses hoch.
Sie sollten das Zertifikat im oberen Fenster anklicken, um es im unteren Fenster einzutragen, es dann im unteren Fenster anklicken und nicht sofort importieren, sondern zuerst die Vertrauenswürdigkeit anpassen.
Manchmal erscheint ein Hinweis, denn Sie mit "OK" quittieren.
Die Punkte "Dynamischer Inhalt", "Eingebettete JavaScripts mit hoher Berechtigungsstufe" und "Privilegierte Systemvorgänge (Netzwerk, Drucken, Dateizugriff usw.)" sollten Sie nicht aktivieren. Bei "Zertifizierte Dokumente" und "Dieses Zertifikat als vertrauenswürdigen Stamm verwenden" sollte jedoch ein Hacken gesetzt werden.
Nachdem das zuvor offene Fenster der Vertrauenswürdigkeitseinstellungen erfolgreich bearbeitet wurde, gelangen Sie zurück zu der Übersicht der zu importierenden Zertifikate. Sie können jetzt auf importieren klicken und das USERTrustRSA-Zertifikat importieren.
Bei Erfolg erhalten Sie eine Meldung die Sie erneut mit "OK" quittieren können.
Sie sehen das Zertifikat jetzt in Ihrer Liste vertrauenswürdiger Zertifikate.
Schritt 7: Importieren Sie das Wurzelzertifikat GEANT OV RSA CA 4 und stellen das Vertrauen ein
Führen Sie die identischen Schritte durch wie oben für „AAA Certificate Services“ (Schritt 5) und für „USERTrust RSA Certification Authority “ (Schritt 6), nur wählen Sie dieses Mal die Datei "GEANT_Personal_CA.crt", die Sie oben heruntergeladen haben, aus.
Schritt 8: Schließen der Einstellung und Überprüfung anhand von Test-PDF-Datei
II. Digitale ID importieren
Um eigene PDF-Dateien unterschreiben zu können, müssen Sie Ihre digitale ID importieren, falls diese noch nicht vorhanden ist.
Starten Sie erneut Acrobat Reader oder Acrobat Pro. Im Menü „Bearbeiten“ klicken Sie auf den Punkt „Einstellungen“.
Alternativ können Sie auch Strg + K drücken, um "Einstellungen" zu öffnen.
Wählen Sie die Kategorie „Unterschriften“ und klicken Sie unter „Identitäten und vertrauenswürdige Zertifikate“ auf „Weitere“.
Unter „Digitale IDs“ wählen Sie den Bereich „Digitale ID-Dateien“ and dann klicken Sie oben auf „Datei anhängen“.
Wählen Sie die Datei mit Ihrer digitalen ID aus und klicken Sie auf „Öffnen“.
Um die verschlüsselte Datei öffnen zu können, müssen Sie das Passwort eingeben.
Ihre digitale ID sollte jetzt in der Liste auftauchen. Sie können alle offenen Dialogfenster jetzt schließen.
III. PDF-Datei digital unterschreiben
Öffnen Sie die zu unterschreibende Datei und klicken Sie dann auf „Werkzeuge“.
Öffnen Sie das Werkzeug „Zertifikate“.
Klicken Sie in der so hinzugefügten Werkzeugzeile auf „Digital unterschreiben“.
Falls ein Hinweisfenster erscheint, schließen Sie es mit „OK“.
Ziehen Sie jetzt mit der Maus ein Rechteck dorthin, wo in der PDF-Datei Informationen über die digitale Signatur eingeblendet werden sollen.
Wählen Sie in der dann erscheinen Dialogbox Ihre digitale ID aus und klicken Sie auf „Weiter“.
Um die Datei tatsächlich zu unterschreiben, geben Sie das Passwort Ihrer digitalen ID und klicken Sie auf „Unterschreiben“.
Anschließend können Sie die Datei abspeichern.
IV. Digital unterschriebene PDF-Datei prüfen
Eigentlich brauchen Sie überhaupt nichts zu tun, da Acrobat Reader und Acrobat Pro jede digitale Unterschrift automatisch prüfen und das Ergebnis anzeigt.
Sie können aber auf „Unterschriftsfenster“ klicken, um weitere Informationen abzurufen.
Klappen Sie die Baumstruktur auf, um die verschiedenen Informationen anzuzeigen. Einzelheiten zum Unterschreiben finden Sie unter „Zertifikatdetails“.
In den Zertifikatdetails können Sie die digitale Unterschrift persönlich nachprüfen.
Unter dem Punkt "Vertrauenswürdigkeit" finden Sie eine Übersicht zu welchen das Zertifikat als vertrauenswürdig eingestuft wird.