FAQ - Häufige Fragen und Antworten zu PDF-Signaturen

Allgemeines
   » Was sind PDF-Signaturen?
   » Welche anderen Signatur-Formate gibt es?
Anwendungen
   » Was zeichnet PDF-Signaturen aus?
   » Welche PDF Varianten gibt es?
   » Wie können Formulare mit dem Adobe® Reader® signiert werden?
   » Wie hängen PDF-Signaturen und Revisionen (Revisions) zusammen?
   » Welche Schlüssel und Zertifikate können verwendet werden?
   » Was wird zum Prüfen einer PDF-Signatur benötigt?
   » Welche Möglichkeiten zur Signaturprüfung bietet Adobe® Reader®?
   » Was sind Self-Signed-Signaturen?
   » Was sind Zertifizierungsunterschriften?
Signaturgesetz
   » Sind digitale Signaturen rechtlich anerkannt?
   » Welche Typen von Signaturen sind mit PDF möglich?
   » Wie können PDF-Dokumente erzeugt, signiert und geprüft werden?
   » Gibt es Schwächen in der Implementierung der Acrobat-Signaturen?
Signaturformat
   » Welche Standards werden von PDF-Signaturen erfüllt?
   » Wo findet man weitere Informationen?

---

Allgemeines

F: Was sind PDF-Signaturen?

A: Im Portable Document Format (PDF) ist die Möglichkeit vorgesehen, Dokumente digital zu unterschreiben. Dabei wird eine kryptographische Signatur in die Datei eingebettet. In der graphischen Darstellung des Dokuments wird eine solche Unterschrift meistens durch ein Signaturfeld repräsentiert, in dem der Name und weitere Angaben zum Unterzeichner enthalten sind. Auch eine Grafik wie z. B. eine eingescannte Unterschrift kann enthalten sein. Es ist aber auch möglich, PDF-Dokumente unsichtbar zu unterschreiben.
Durch die digitale Signatur kann der der Unterzeichner und die Unversehrtheit des Dokuments eindeutig nachgewiesen werden. Digitale Signaturen sind unter bestimmten Bedingungen gleichwertig zu einer handschriftlichen Unterschrift.

F: Welche anderen Signatur-Formate gibt es?

A: Das wahrscheinlich gängigste Signaturformat ist PKCS#7. Es kommt unter anderem bei PDF, S/MIME und sogenannten abgesetzten (detached) Signaturen zum Einsatz. Ein weiteres verbreitetes Format ist PGP, welches für Dateien und E-Mails verwendet werden kann. Mit XML-DSig existiert auch ein XML-basiertes Format für digitale Signaturen. Dieses kommt wiederum in Microsoft Office 2007 und OpenOffice 3 zur Realisierung der Signaturfunktionalität zum Einsatz.
Die genannten Beispiele umfassen die gängigsten Formate. Es gibt und gab natürlich auch eine Vielzahl andere Formate, von denen viele aber proprietär und nicht offengelegt sind.

Anwendungen

F: Was zeichnet PDF-Signaturen aus?

A: PDF ist ein weit verbreitetes Dokumentformat und mittlerweile in mehreren ISO Standards dokumentiert. Da das Layout eines Dokuments genau festgelegt ist, ist weitgehend sichergestellt, dass der Unterzeichner das Dokument beim Unterschreiben genau so sieht, wie es auch beim Empfänger angezeigt wird ("what you see is what you sign").
Da die Signaturen als graphische Elemente im Dokument enthalten sein können, kann die Verwendung von Signaturen auch für Anwender ohne technische Detailkenntnisse anschaulich gemacht werden.

F: Welche PDF Varianten gibt es?

A: Neben dem "normalen" PDF Format (ISO 32000-1) gibt es noch weitere Varianten wie PDF/X ISO 15929 und 15930), PDF/E (ISO 24517-1) und PDF/A (ISO 19005-1). Wegen seiner Rolle als Archivformat und der gleichzeitigen Unterstützung von PDF Signaturen ist PDF/A eine attraktive Alternative zu anderen Archivformaten.

F: Wie können Formulare mit dem Adobe® Reader® signiert werden?

A: Eine wichtige Anwendung von PDF-Signaturen sind Formulare. Der Ersteller eines Formulars gibt dabei Formularfelder vor, die später vom Anwender ausgefüllt werden. Das Ausfüllen und Signieren von PDF-Formularen ist normalerweise nur mit den kostenpflichtigen Acrobat Versionen möglich. Nur über eine spezielle Freischaltung durch Acrobat Professional oder Adobe® LiveCycle Reader Extensions ist die Nutzung dieser Funktionalität mit dem kostenlosen Adobe Reader® möglich.

F: Wie hängen PDF-Signaturen und Revisionen (Revisions) zusammen?

A: Eine Besonderheit des PDF-Formats ist die Revisionsverwaltung. Wenn ein signiertes Dokument nachträglich geändert wird, wird die Unterschrift nicht wie bei anderen Formaten ungültig; stattdessen wird eine neue Revision angelegt und die Unterschrift bleibt mit dem Hinweis "Dokument wurde geändert" gültig.
Abhängig von der eingesetzten Acrobat Version lassen sich Änderungen zwischen Revisionen mehr oder weniger detailliert erkennen und über eine Änderungsliste einsehen. Auch lässt sich die signierte Revision jederzeit wiederherstellen.

F: Welche Schlüssel und Zertifikate können verwendet werden?

A: PDF-Signaturen beruhen auf PKCS#7 und verwenden X.509-Zertifikate. Die privaten Schlüssel können aus einer PKCS#12-Datei in Acrobat importiert werden oder direkt über PCKS#11 auf einer Chipkarte verwendet werden. Unter Windows kann auch der Windows-Zertifikatsspeicher verwendet werden. Dadurch ist auch der Einsatz von Chipkarten oder USB Token mit CSP (Crypto Service Provider) möglich.

F: Was wird zum Prüfen einer PDF-Signatur benötigt?

A: Zur Prüfung der Signatur benötigt der Empfänger lediglich den Adobe® Reader ab Version 6, wobei immer die aktuellste Version verwendet werden sollte, sowie das Zertifikat der Certification Authority (CA), die den Signaturschlüssel bestätigt hat.

F: Welche Möglichkeiten zur Signaturprüfung bietet Adobe® Reader®?

A: Der kostenlose Adobe® Reader® kann grundsätzlich alle PDF Standard konformen Signaturen prüfen. Für die Sperrprüfung können OCSP (Online Certificate Status Protocol) und CRL (Certificate Revocation List) verwendet werden, wobei letztere über HTTP oder LDAP abgerufen werden können. Die Zertifikatsprüfung erfolgt nach PKIX (Schalenmodell).
Neben der Prüfung der Signatur auf ihre kryptografische Unversehrtheit kann der Anwender auch weitere Unterschriftsdetails einsehen und Änderungen nachverfolgen. Hierbei unterscheiden sich die Acrobat Versionen teilweise deutlich voneinander. Beispielsweise bieten manche Versionen eine grafische Statusanzeige als Teil der sichtbaren Signatur. Auch ändert sich teilweise das Prüfverhalten, wenn das Dokument vorher zertifiziert wurde.

F: Was sind Self-Signed-Signaturen?

A: Neben PKI-basierten Zertifikaten unterstützt PDF auch so genannte "Self-Signed"-Zertifikate. Diese werden nicht von einer CA ausgestellt, sondern müssen dem Empfänger auf sichere Weise übermittelt und von ihm jeweils einzeln als vertrauenswürdig akzeptiert werden.

F: Was sind Zertifizierungsunterschriften?

A: Adobe® bezeichnet mit dem Begriff "Zertifizierung", dass der Autor eines Dokuments mit seiner Unterschrift bestätigt, dass er das Dokument verfasst hat. Im Zusammenhang mit dieser Zertifizierung kann er bestimmte Rechte vergeben, beispielsweise Änderungen am Dokument zulassen oder verbieten. Durch unzulässige Änderungen wird die Zertifizierungsunterschrift dann ungültig.

Signaturgesetz

F: Sind digitale Signaturen rechtlich anerkannt?

A: Das Signaturgesetz unterscheidet zwischen einfachen, fortgeschrittenen und qualifizierten Signaturen. Die qualifizierte Signatur ist mit wenigen Ausnahmen einer handschriftlichen Unterschrift gleichgestellt. In Unternehmensprozessen, in denen sie nicht aufgrund von Formvorschriften erforderlich sind, reicht in der Regel eine fortgeschrittene Signatur aus.

F: Welche Typen von Signaturen sind mit PDF möglich?

A: Adobe® Acrobat® erzeugt standardmäßig fortgeschrittene Signaturen. Es ist aber möglich, qualifizierte Signaturen mit PDF zu nutzen. Hierzu kommen besondere Signaturanwendungskomponenten zum Einsatz, welche die Vorgaben des Signaturgesetzes einhalten und dies durch die Veröffentlichung einer Herstellererklärung dokumentieren.

F: Wie können PDF-Dokumente erzeugt, signiert und geprüft werden?

A: Die meist verbreitete Software zum Bearbeiten von PDF-Dokumenten ist Adobe® Acrobat®. Zum Umwandeln von beliebigen Dokumenten in PDF können neben Acrobat Distiller auch andere Produkte oder Open-Source-Alternativen wie Ghostscript eingesetzt werden. Zusätzlich bieten MS Office 2007 und OpenOffice auch die Möglichkeit der Direktkonvertierung ohne Zusatzsoftware.
Zum Signieren und Prüfen von PDF-Dokumenten kann Adobe® Acrobat® eingesetzt werden. Andere PDF-Viewer zeigen Signaturfelder teilweise nur als Grafik an, ohne die Gültigkeit der Unterschrift zu prüfen.
Neben den Adobe® Produkten gibt es auch eine Vielzahl von Produkten anderer Hersteller zur PDF-Signatur. Secardeo bietet mit der pdfGate Produktfamilie Lösungen zur automatisierten Erstellung und Prüfung von PDF Signaturen und zur Umsetzung von PDF basierten Signatur-Workflows an.

F: Gibt es Schwächen in der Implementierung der Acrobat-Signaturen?

A: Es gibt in einigen Acrobat Versionen Mängel oder Fehler im Zusammenspiel mit der Signaturerzeugung oder Prüfung. Beispielsweise existiert in Acrobat 7 ein Übersetzungsfehler im Unterschriftsdialog, wodurch bei gültigen Unterschriften der Hinweis "Das Dokument wurde nach dem Anbringen der Zertifizierung verändert oder beschädigt." erscheint.

Signaturformat

F: Welche Standards werden von PDF-Signaturen erfüllt?

A: Das PDF-Signaturformat selbst ist im PDF Standard in ISO 32000-1 spezifiziert. Die Signaturen entsprechen dem PKCS#7 Format (RFC3852). Alternativ kann ein "Raw Signature Format" eingesetzt werden, bei dem ein Signaturobjekt gemäß PKCS #1 direkt verwendet wird. Die verwendeten Zertifikate folgen dem Standard ITU-T X.509v3. Zusätzlich erlaubt der PDF Standard auch die Einbettung von Zeitstempeln (RFC 3161) und Sperrinformationen (CRL nach RFC 3280 und OCSP nach RFC 2560), sowie die Verwendung verschiedener Hashalgorithmen und RSA Schlüssellängen.

Sonstiges

F: Wo findet man weitere Informationen?

A: PDF Standard und Adobe® spezifische Erweiterungen:
http://www.adobe.com/devnet/pdf/pdf_reference.html

PDF/A Competence Center:
http://www.pdfa.org