Laut https://www.pdf-insecurity.org/ werden elektronische Unterschriften durch fast alle PDF-Reader, auch von Adobe, nicht korrekt überprüft. Es gibt zahlreiche verschiedene Möglichkeiten, diese PDF-Reader so auszutricksen, dass sie gefälschte Inhalte als echt anzeigen!

Offensichtlich leiden PDF-interne Signaturen an konzeptionellen Schwächen. Wir empfehlen daher, PDF-internen Signaturen überhaupt nicht mehr zu vertrauen.

Ausnahmen sind möglich, wenn – wie in der Universitätsverwaltung – zur Signaturprüfung eine Software eingesetzt wird, die gegen sämtliche auf https://www.pdf-insecurity.org/ genannten Angriffe unempfindlich ist. Dies ist nach jedem Update dieser Webseite oder der Software erneut zu prüfen.

Leider liefert der Hersteller Adobe Systems seine Software Acrobat Reader und Acrobat Pro mit Einstellungen aus, welche die Nutzung unserer normalen digitalen IDs zum elektronischen Unterschreiben von PDF-Dokumenten explizit verhindern.

Es ist möglich, diese Einstellungen zu ändern. Allerdings müssen sowohl diejenigen, die PDF-Dokumente signieren möchten, als auch diejenigen, die die so erstellten PDF-Signaturen prüfen möchten, diese Einstellungsänderungen vornehmen.

Aus diesem Grund sollten unsere digitalen IDs ausschließlich für interne PDF-Dokumente verwendet werden, die die Universität Münster nicht verlassen. Denn nur dann können Sie vom Empfänger des Dokuments erwarten, dass er zur Prüfung der PDF-Signatur die unten beschriebenen Einstellungsänderungen vornimmt.

Bitte verwenden Sie unsere digitalen IDs nicht zum Unterschreiben von PDF-Dokumenten, die an Stellen außerhalb der Universität Münster weitergeleitet werden. Diese Stellen werden die Signatur immer als ungültig angezeigt bekommen!

Hinzu kommt: Unter bestimmten Umständen werden ältere „TCS“-Zertifikate vorzeitig ohne triftigen Grund widerrufen. Damit erstellte PDF-Signaturen, die ursprünglich gültig waren, werden dann als ungültig angezeigt.

Bitte verwenden Sie die digitalen „TCS“-IDs nicht zum Unterschreiben von PDF-Dokumenten, die archiviert werden könnten. Denn es kann passieren, dass diese Signaturen später als ungültig angezeigt werden!

Es gibt eine einfache Alternative: Signieren Sie nicht die PDF-Datei, sondern die E-Mail, mit der Sie die PDF-Datei versenden.

Digitale IDs einbauen und nutzen mit Acrobat Reader oder Acrobat Pro

Bitte klicken Sie auf die Abbildungen, um Sie zu vergrößern.

Bitte ersetzen Sie meine Nutzerkennung „perske“, meine E-Mail-Adressen und meine sonstigen Angaben durch Ihre eigenen Daten.

Diese Anleitung besteht aus vier Teilen:

1. Wurzelzertifikate korrigieren

2. Digitale ID importieren

3. PDF-Datei elektronisch unterschreiben

4. Elektronisch unterschriebene PDF-Datei prüfen

1. Wurzelzertifikate korrigieren

Leider werden alle Wurzelzertifikate, auf denen unsere digitalen IDs basieren, vom Adobe Acrobat Pro bzw. Adobe Acrobat Reader nicht akzeptiert.

Daher ist es nötig, die Wurzelzertifikate der infrage kommenden Aussteller digitaler IDs von Hand in die Acrobat-Software zu importieren und als vertrauenswürdig einzustellen.

Wenn Sie alle folgenden Wurzelzertifikate wie beschrieben importieren und als vertrauenswürdig einstellen, werden Sie zukünftig alle Unterschriften unter universitätsinternen PDF-Dokumente korrekt prüfen können.

Die Universität Münster klärt gerade ab, welche digitalen IDs welcher Aussteller zukünftig zum Unterschreiben universitätsinterner PDF-Dokumente eingesetzt werden sollen.

Sobald geklärt ist, welche digitalen IDs tatsächlich eingesetzt werden, werden wir diesen Teil der Anleitung auf die tatsächlich benötigten Wurzelzertifikate reduzieren.

1.1 Bitte speichern Sie vorab folgende Dateien ab:

• PDF-CA.p7b = Wurzelzertifikat der WWU-internen Zertifizierungsstelle PDF-CA
  (Die PDF-CA ist speziell für WWU-interne PDF-Signaturen gedacht.)

• rsa-root-2001.p7b = Wurzelzertifikat der USERTrust RSA Certification Authority
  (Dies ist das Wurzelzertifikat unserer digitalen IDs „TCS“ für die normalen RSA-Schlüsselpaare. Es ist in den Acrobat-Einstellungen bereits enthalten, aber explizit für PDF-Signaturen gesperrt.)

• ecc-root-2001.p7b = Wurzelzertifikat der USERTrust ECC Certification Authority
  (Dies ist das Wurzelzertifikat unserer digitalen IDs „TCS“ für speziell angeforderte ECC-Schlüsselpaare.)

• rootca-2016.p7b = Wurzelzertifikat der T-Telesec Global Root Class 2
  (Dies ist das Wurzelzertifikat unserer digitalen IDs „Global“.)

• TestbriefRSASigniert.pdf = Eine mit einem Zertifikat von der USERTrust RSA Certification Authority signierte PDF-Datei

• TestbriefECCSigniert.pdf = Eine mit einem Zertifikat von der USERTrust ECC Certification Authority signierte PDF-Datei

Starten Sie Acrobat Reader oder Acrobat Pro. Im Menü „Bearbeiten“ klicken Sie auf den Punkt „Einstellungen“:

---

Die nachfolgende Anleitung geht davon aus, dass Sie sowohl allen qualifizierten Signaturen nach der eIDAS-Verordnung der Europäischen Union als auch den im Rahmen der DFN-PKI verwendeten Wurzelzertifikaten als auch allen von der Firma Adobe ausgewählten Wurzelzertifikaten vertrauen möchten.

Eine sinnvolle Alternative wäre, nur den qualifizierten Signaturen und einzelnen ausgewählten Wurzelzertifikaten zu vertrauen. Dazu sollten Sie sämtliche Wurzelzertifikate löschen und anschließend nur die EUTL und die ausgewählten Wurzelzertifikate importieren, also nur den entsprechenden Teilen der nachfolgenden Anleitung folgen. Insbesondere sollte Sie dann die AATL nicht laden!

---

1.2 Zuerst sorgen Sie dafür, dass Acrobat Reader bzw. Acrobat Pro alle von der Firma Adobe und von der Europäischen Union ausgelieferten Wurzelzertifikate importiert:

1.3 Dann beseitigen Sie die hinderlichen Richtlinieneinschränkungen für das Wurzelzertifikat der USERTrust RSA Certification Authority:

Diese sind der Grund, weshalb Sie unsere normalen digitalen IDs keinesfalls zum Signieren von PDF-Dokumenten verwenden sollten, die an Stellen außerhalb der Universität Münster weitergeleitet werden.

Hinzu kommt, dass alte digitale IDs „TCS“, die noch nicht abgelaufen sind, beim Beantragen neuer digitaler IDs automatisch widerrufen werden. Das sorgt aber dafür, dass die damit erstellten Signaturen unter (archivierten) PDF-Dateien als ungültig angezeigt werden, obwohl sie vorher als gültig angezeigt wurden. Digitale IDs „TCS“ sind also keinesfalls zum Signieren von PDF-Dateien geeignet, wenn diese länger aufbewahrt werden sollen. Daher empfehlen wir für universitätsinterne PDF-Signaturen die PDF-CA.

Aus der langen Liste müssen Sie die USERTrust RSA Certification Authority heraussuchen, bevor Sie auf das Editieren-Symbol klicken:

Hier können Sie die voreingestellten Richtlineneinschränkungen löschen:

Bei einer Aktualisierung der Adobe Approved Trust List würde diese Einstellung wieder überschrieben werden, daher muss diese Aktualisierung deaktiviert werden:

(Die European Union Trusted List enthält die Aussteller qualifizierter Signaturen nach der eIDAS-Verordnung der EU und sollte daher aktuell gehalten werden.)

1.4 Dann importieren Sie das Wurzelzertifikat der USERTrust ECC Certification Authority und stellen Sie das Vertrauen ein:

Auch hier gilt, dass alte digitale IDs „TCS“, die noch nicht abgelaufen sind, beim Beantragen neuer digitaler IDs automatisch widerrufen werden. Das sorgt aber dafür, dass die damit erstellten Signaturen unter (archivierten) PDF-Dateien als ungültig angezeigt werden, obwohl sie vorher als gültig angezeigt wurden. Digitale IDs „TCS“ sind also keinesfalls zum Signieren von PDF-Dateien geeignet, wenn diese länger aufbewahrt werden sollen. Daher empfehlen wir für universitätsinterne PDF-Signaturen die PDF-CA.

Sie sollten das Zertifikat im oberen Fenster anklicken, um es im unteren Fenster einzutragen, es dann im unteren Fenster anklicken und nicht sofort importieren, sondern zuerst die Vertrauenswürdigkeit anpassen:

Die eingerückt dargestellten Punkte sollten Sie nicht aktivieren:

1.5 Dann importieren Sie das alte Wurzelzertifikat der T-TeleSec GlobalRoot Class 2 Certification Authority und stellen Sie das Vertrauen ein:

Sie sollten das Zertifikat im oberen Fenster anklicken, um es im unteren Fenster einzutragen, es dann im unteren Fenster anklicken und nicht sofort importieren, sondern zuerst die Vertrauenswürdigkeit anpassen:

Die eingerückt dargestellten Punkte sollten Sie nicht aktivieren:

1.6 Dann importieren Sie das Wurzelzertifikat WWU-internen Zertifizierungsstelle PDF-CA und stellen Sie das Vertrauen ein:

Führen Sie die identischen Schritte durch wie oben für die „USERTrust ECC Certification Authority“ (Abschnitt 1.4) und für die „T-TeleSec GlobalRoot Class 2 Certification Authority“ (Abschnitt 1.5), nur wählen Sie dieses Mal die Datei PDF-CA.p7b, die Sie oben heruntergeladen haben.

1.7 Abschließend können Sie die Einstellungen schließen und anhand der oben heruntergeladenen Test-PDF-Dateien prüfen, ob die Einstellungen für beide USERTrust-Wurzelzertifikate jetzt korrekt sind:

2. Digitale ID importieren

Um eigene PDF-Dateien unterschreiben zu können, müssen Sie Ihre digitale ID importieren.

Im Menü „Bearbeiten“ klicken Sie auf den Punkt „Einstellungen“:

Wählen Sie die Kategorie „Unterschriften“ und klicken Sie unter „Identitäten und vertrauenswürdige Zertifikate“ auf „Weitere“:

Under „Digitale IDs“ wählen Sie den Bereich „Digitale ID-Dateien“ and dann klicken Sie oben auf „Datei anhängen“:

Wählen Sie die Datei mit Ihrer digitalen ID aus und klicken Sie auf „Öffnen“:

Um die verschlüsselte Datei öffnen zu können, müssen Sie das Passwort eingeben:

Ihre digitale ID sollte jetzt in der Liste auftauchen. Sie können alle offenen Dialogfenster jetzt schließen:

3. PDF-Datei elektronisch unterschreiben

Öffnen Sie die zu unterschreibende Datei und klicken Sie dann auf „Werkzeuge“:

Öffnen Sie das Werkzeug „Zertifikate“:

Klicken Sie in der so hinzugefügten Werkzeugzeile auf „Digital unterschreiben“:

Falls ein Hinweisfenster erscheint, schließen Sie es mit „OK“:

Ziehen Sie jetzt mit der Maus ein Rechteck dorthin, wo in der PDF-Datei Informationen über die elektronische Signatur eingeblendet werden sollen:

Wählen Sie in der dann erscheinen Dialogbox Ihre digitale ID aus und klicken Sie auf „Weiter“:

Um die Datei tatsächlich zu unterschreiben, geben Sie das Passwort Ihrer digitalen ID und klicken Sie auf „Unterschreiben“:

Wählen Sie aus, wo und unter welchem Namen die unterschriebene PDF-Datei abgespeichert werden soll, und klicken Sie auf „Speichern“:

Jetzt wird die unterschriebene Datei mit der Einblendung angezeigt. Diese Einblendung beschreibt die Eigenschaften der elektronischen Unterschrift. Die elektronische Unterschrift selbst ist unsichtbar.

Sie können die Werkzeugleiste jetzt schließen:

Um weitere Einzelheiten zur elektronischen Unterschrift anzuzeigen, klicken Sie auf die Einblendung:

4. Elektronisch unterschriebene PDF-Datei prüfen

Eigentlich brauchen Sie überhaupt nichts zu tun, da Acrobat Reader und Acrobat Pro jede elektronische Unterschrift automatisch prüfen und das Ergebnis anzeigen.

Sie können aber auf „Unterschriftsfenster“ klicken, um weitere Informationen abzurufen:

Klappen Sie die Baumstruktur auf, um die verschiedenen Informationen anzuzeigen. Einzelheiten zum Unterschreiber finden Sie unter „Zertifikatdetails“: