Warum muss der Acrobat Reader bei der Unterschriftenprüfung immer meckern?
Kennen Sie das? Sie bekommen per E-Mail ein signiertes (unterschriebenes) Dokument und Ihr Acrobat Reader mokiert sich mittels Alert-Meldung, dass die „Gültigkeit der Unterschrift“ bzw. die „Identität des Unterzeichners“ unbekannt ist.
So what?
Erste nachvollziehbare Reaktion ist die Frage „was will der Dateibetrachter von mir?“ Vertieft man sich in die Meldungen könnte es einem schnell „warm“ werden. Denn was steht da? Dass das Dokument gefälscht sein könnte? Dass der Reader es nicht verifizieren kann? Nach einer Schrecksekunde die Überlegung: Muss ich mich wirklich damit beschäftigen oder rufe ich jetzt meine IT an und frage nach? @IT: Ja, es ist leider ziemlich mühsam die richtigen, zeitlich gültigen Root-Zertifikate/Intermediates in den Keystore des Betriebssystems zu bringen.
Abhängig vom Engagement und der Energie, die man investieren will, ignoriert man die Alert-Meldung mit einem tollkühnen „wird schon passen“, Poweruser geben wagemutig ein Ticket auf! So, oder so, eine Frage manifestiert sich im Kopf: „Warum, warum kann das nicht einfach funktionieren?“ – ich bin AnwenderIn, kein help-yourself-desk!
Relevante Faktoren: Keine Veränderung, überprüfter Absender
Möglichst einfach und nicht-technisch erklärt: Zu Ihrer Sicherheit wird geprüft, ob das Dokument seit seiner Unterzeichnung geändert wurde. Und – die zweite Säule des Vertrauens in eine digitale Unterschrift (=Signatur) – es wird Sicherheit darüber hergestellt, WER ihnen das Dokument geschickt hat.
Natürlich können Sie diese Überprüfung auch Adobe bzw. dem Acrobat Reader überlassen, es existieren dazu diverse online abfragbare Prüflisten. Nur hängt die korrekte Überprüfung – und damit das Ergebnis – von der Konfiguration des Acrobat Readers ab – und die kann energetisch durchaus aufwändig werden.
Adobe Approved Trust List (AATL)
Abhängig vom Anbieter des Ausweises (=Zertifikat) ist dieser in einer offiziellen, öffentlich einsehbaren Liste enthalten – oder auch nicht. Es gibt auch exklusivere Listen, wie z.B. von Adobe selbst geführt: Codename AATL. Die Wahl des Anbieters beim Kauf von Zertifikaten ist daher eine tatsächlich folgenreiche Entscheidung.
Besser: „Vertrauen zum Mitnehmen“ aus Österreich
Erfreulich, dass es seit Kurzem eine tatsächlich sichere Alternative aus Österreich gibt: die TRUST2GO -Zertifikate von Globaltrust, einem Unternehmen des renommierten Datenschutzexperten Hans Zeger. Die verwendeten Signaturdaten werden in das PDF integriert und beim Empfänger automatisch geprüft. Die Authentifizierung – also der Nachweis, dass wirklich Sie der Unterzeichner sind und niemand anderer – erfolgt bei jeder Signatur durch 2-Faktor-Authentifizierung, entweder im SMS-TAN-Verfahren oder über eine Smartphone-App mittels PIN-Eingabe, Fingerabdruck oder Gesichtserkennung.
Die zur Verwahrung Ihres privaten Signaturschlüssels notwendigen HSM-Komponenten sind durch FIPS/NIST zertifiziert und in einem Hochsicherheits-Rechenzentrum auf österreichischem Boden untergebracht. Zudem wird bei der Signatur ausschließlich ein bei Ihnen lokal erzeugter verschlüsselter Hashwert verwendet.
Anmerkung für die IT: Die verwendeten Zertifikate sind Cloud Zertifikate und die AATL Prüfung gilt auch für AES Zertifikate (fortgeschrittene Zertifikate, als einziger Anbieter in Österreich) und nicht nur für QES Zertifikate (qualifizierte Zertifikate) – auch das wird die AnwenderIn freuen, weil aus Ihrer Sicht ein Faktor zur Freigabe genügt!
Da fällt ja sogar auch die Verteilung der User-Zertifikate in den Key-Store weg! Kurz darüber nachgedacht: ja, tatsächlich – weniger Tätigkeiten und Fehlerquellen! TRUST2GO -Zertifikate von Globaltrust: getestet und für gut befunden. Da hat dann nicht mal mehr der Acrobat Reader was zu meckern:
