Laut https://www.pdf-insecurity.org/ werden elektronische Unterschriften durch fast alle PDF-Reader, auch von Adobe, nicht korrekt überprüft. Es gibt zahlreiche verschiedene Möglichkeiten, diese PDF-Reader so auszutricksen, dass sie gefälschte Inhalte als echt anzeigen!

Offensichtlich leiden PDF-interne Signaturen an konzeptionellen Schwächen. Wir empfehlen daher, PDF-internen Signaturen überhaupt nicht mehr zu vertrauen.

Ausnahmen sind möglich, wenn – wie in der Universitätsverwaltung – zur Signaturprüfung eine Software eingesetzt wird, die gegen sämtliche auf https://www.pdf-insecurity.org/ genannten Angriffe unempfindlich ist. Dies ist nach jedem Update dieser Webseite oder der Software erneut zu prüfen.

Digitale IDs einbauen und nutzen mit Acrobat Reader oder Acrobat Pro

Leider liefert der Hersteller Adobe Systems Acrobat Reader und Acrobat Pro nicht mit allen relevanten Wurzelzertifikaten aus und stimmen die Einstellungen der mitgelieferten Wurzelzertifikate nicht. Daher müssen diese Einstellungen korrigiert und die fehlenden Wurzelzertifikate ergänzt werden, bevor Sie mit Acrobat Reader oder Acrobat Pro elektronische unterschriebene PDF-Dateien prüfen oder eigene PDF-Dateien elektronisch unterschreiben können.

Bitte klicken Sie auf die Abbildungen, um Sie zu vergrößern.

Bitte ersetzen Sie meine Nutzerkennung „perske“, meine E-Mail-Adressen und meine sonstigen Angaben durch Ihre eigenen Daten.

Diese Anleitung besteht aus vier Teilen:

1. Wurzelzertifikate korrigieren

2. Digitale ID importieren

3. PDF-Datei elektronisch unterschreiben

4. Elektronisch unterschriebene PDF-Datei prüfen

1. Wurzelzertifikate korrigieren

Bitte speichern Sie vorab folgende Dateien ab:

• ecc-root-2001.p7b = Wurzelzertifikat der USERTrust ECC Certification Authority

• rootca-2016.p7b = Wurzelzertifikat der T-Telesec Global Root Class 2

• TestbriefRSASigniert.pdf = Eine mit einem Zertifikat von der USERTrust RSA Certification Authority signierte PDF-Datei

• TestbriefECCSigniert.pdf = Eine mit einem Zertifikat von der USERTrust ECC Certification Authority signierte PDF-Datei

Nicht benötigt wird rsa-root-2001.p7b = Wurzelzertifikat der USERTrust RSA Certification Authority, da das Zertifikat von Acrobat ausgeliefert wird.

Starten Sie Acrobat Reader oder Acrobat Pro. Im Menü „Bearbeiten“ klicken Sie auf den Punkt „Einstellungen“:

---

Nachtrag Anfang 2022:

Die nachfolgende Anleitung geht davon aus, dass Sie sowohl allen qualifizierten Signaturen nach der eIDAS-Verordnung der Europäischen Union als auch den im Rahmen der DFN-PKI verwendeten Wurzelzertifikaten als auch allen von der Firma Adobe ausgewählten Wurzelzertifikaten vertrauen möchten.

Eine sinnvolle Alternative wäre, nur den qualifizierten Signaturen und einzelnen ausgewählten Wurzelzertifikaten zu vertrauen. Dazu sollten Sie sämtliche Wurzelzertifikate löschen und anschließend nur die EUTL und die ausgewählten Wurzelzertifikate importieren, also nur den entsprechenden Teilen der nachfolgenden Anleitung folgen. Insbesondere sollte Sie dann die AATL nicht laden!

---

Zuerst sorgen Sie dafür, dass Acrobat Reader bzw. Acrobat Pro alle von der Firma Adobe und von der Europäischen Union ausgelieferten Wurzelzertifikate importiert:

Dann beseitigen Sie die hinderlichen Richtlinieneinschränkungen für das Wurzelzertifikat der USERTrust RSA Certification Authority:

Aus der langen Liste müssen Sie die USERTrust RSA Certification Authority heraussuchen, bevor Sie auf das Editieren-Symbol klicken:

Hier können Sie die voreingestellten Richtlineneinschränkungen löschen:

Bei einer Aktualisierung der Adobe Approved Trust List würde diese Einstellung wieder überschrieben werden, daher muss diese Aktualisierung deaktiviert werden:

(Die European Union Trusted List enthält die Aussteller qualifizierter Signaturen nach der eIDAS-Verordnung der EU und sollte daher aktuell gehalten werden.)

Dann importieren Sie das Wurzelzertifikat der USERTrust ECC Certification Authority und stellen Sie das Vertrauen ein:

Sie sollten das Zertifikat im oberen Fenster anklicken, um es im unteren Fenster einzutragen, es dann im unteren Fenster anklicken und nicht sofort importieren, sondern zuerst die Vertrauenswürdigkeit anpassen:

Die eingerückt dargestellten Punkte sollten Sie nicht aktivieren:

Dann importieren Sie das alte Wurzelzertifikat der T-TeleSec GlobalRoot Class 2 Certification Authority und stellen Sie das Vertrauen ein:

Sie sollten das Zertifikat im oberen Fenster anklicken, um es im unteren Fenster einzutragen, es dann im unteren Fenster anklicken und nicht sofort importieren, sondern zuerst die Vertrauenswürdigkeit anpassen:

Die eingerückt dargestellten Punkte sollten Sie nicht aktivieren:

Abschließend können Sie die Einstellungen schließen und anhand der oben heruntergeladenen Test-PDF-Dateien prüfen, ob die Einstellungen für beide USERTrust-Wurzelzertifikate jetzt korrekt sind:

2. Digitale ID importieren

Um eigene PDF-Dateien unterschreiben zu können, müssen Sie Ihre digitale ID importieren.

Im Menü „Bearbeiten“ klicken Sie auf den Punkt „Einstellungen“:

Wählen Sie die Kategorie „Unterschriften“ und klicken Sie unter „Identitäten und vertrauenswürdige Zertifikate“ auf „Weitere“:

Under „Digitale IDs“ wählen Sie den Bereich „Digitale ID-Dateien“ and dann klicken Sie oben auf „Datei anhängen“:

Wählen Sie die Datei mit Ihrer digitalen ID aus und klicken Sie auf „Öffnen“:

Um die verschlüsselte Datei öffnen zu können, müssen Sie das Passwort eingeben:

Ihre digitale ID sollte jetzt in der Liste auftauchen. Sie können alle offenen Dialogfenster jetzt schließen:

3. PDF-Datei elektronisch unterschreiben

Öffnen Sie die zu unterschreibende Datei und klicken Sie dann auf „Werkzeuge“:

Öffnen Sie das Werkzeug „Zertifikate“:

Klicken Sie in der so hinzugefügten Werkzeugzeile auf „Digital unterschreiben“:

Falls ein Hinweisfenster erscheint, schließen Sie es mit „OK“:

Ziehen Sie jetzt mit der Maus ein Rechteck dorthin, wo in der PDF-Datei Informationen über die elektronische Signatur eingeblendet werden sollen:

Wählen Sie in der dann erscheinen Dialogbox Ihre digitale ID aus und klicken Sie auf „Weiter“:

Um die Datei tatsächlich zu unterschreiben, geben Sie das Passwort Ihrer digitalen ID und klicken Sie auf „Unterschreiben“:

Wählen Sie aus, wo und unter welchem Namen die unterschriebene PDF-Datei abgespeichert werden soll, und klicken Sie auf „Speichern“:

Jetzt wird die unterschriebene Datei mit der Einblendung angezeigt. Diese Einblendung beschreibt die Eigenschaften der elektronischen Unterschrift. Die elektronische Unterschrift selbst ist unsichtbar.

Sie können die Werkzeugleiste jetzt schließen:

Um weitere Einzelheiten zur elektronischen Unterschrift anzuzeigen, klicken Sie auf die Einblendung:

4. Elektronisch unterschriebene PDF-Datei prüfen

Eigentlich brauchen Sie überhaupt nichts zu tun, da Acrobat Reader und Acrobat Pro jede elektronische Unterschrift automatisch prüfen und das Ergebnis anzeigen.

Sie können aber auf „Unterschriftsfenster“ klicken, um weitere Informationen abzurufen:

Klappen Sie die Baumstruktur auf, um die verschiedenen Informationen anzuzeigen. Einzelheiten zum Unterschreiber finden Sie unter „Zertifikatdetails“: