Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>PDFs digital signieren – eine Anleitung

PDFs digital signieren – eine Anleitung

Weia
Weia04.01.2202:57
Es hat etwas Tragikkomisches an sich, dass im Jahre 2021 die rechtssichere Unterzeichnung von Dokumenten noch immer zum Großteil mittels monströs-grotesker, völlig ineffizienter und unökologischer Provisorien erfolgt wie dem berüchtigten Workflow Dokument ausdrucken – von Hand unterschreiben – wieder einscannen und dann als PDF via Email versenden (inklusive Rechtshinweis, dass der Versand der Email ungesichert erfolgt, der Betroffene sich dieser Tatsache bewusst ist und sein Einverständnis damit erklärt). Getoppt wird das nur noch durch Faxe und den Dokumentversand per Briefpost.

Dabei gibt es seit über zwei Jahrzehnten die Technologie und die rechtlichen Voraussetzungen, all diese Vorgänge sicher auf digitaler Ebene abzuwickeln, so wie es für Websites zur gesicherten Übertragung von Daten in Form von (HTTPS respektive SSL) geschieht.

Doch während sich SSL langsam, aber sicher durchgesetzt hat und heute als weitverbreiteter Standard gelten kann, ist das für signierte und verschlüsselte Emails weit weniger der Fall und für digital signierte PDFs so gut wie gar nicht.

Das hat seinen Grund primär darin, dass sich bei Websites nur die Website-Betreiber mit der neuen Technologie herumschlagen mussten, nicht aber die Website-Besucher, für die alles wie von selbst funktionierte, sobald ein Webbrowser-Update, das die Nutzer ohnehin vornahmen, automatisch die hierfür erforderliche Technologie mitbrachte.

Im Gegensatz zu Websites, wo ein asymmetrisches Verhältnis zwischen Betreiber und Besuchern besteht, sind Email-Verkehr und Austausch unterzeichneter Dokumente aber symmetrische Vorgänge; jeder Nutzer müsste also selbst ähnlich aktiv werden wie bei Websites nur der Betreiber (im Kern müsste er sich ein digitales Zertifikat besorgen).

Das hat die Adaptionsrate entscheidend begrenzt. Infolgedessen blieb die Technologie aufgrund kleiner Stückzahlen teuer (was digitale Zertifikate zum Signieren von PDFs betrifft, für Privatleute definitiv zu teuer) und die Softwarehersteller verwendeten nur wenig Energie darauf, eine kaum genutzte Technologie leichter handhabbar zu machen, was wiederum die Adaptionsrate niedrig hielt – der übliche Teufelskreis.

Wenn wir nicht 2050 immer noch faxen wollen, kann es so aber nicht weitergehen. Ich hatte daher Anfang 2021 zum wiederholten Mal einen Anlauf gemacht zu prüfen, ob digital unterschriebene PDFs mittlerweile für Privatnutzer (und kleine Unternehmen) praktikabel sein könnten, zumal ich diesmal Anhaltspunkte dafür hatte, dass es an der Preisfront – von der IT-Öffentlichkeit weitgehend unbemerkt – einen Durchbruch gegeben haben könnte. (Um es vorwegzunehmen: Hat es; man ist jetzt ab 35€/Jahr (statt bislang mehr als 300€/Jahr) dabei, so viel wie das Briefporto für drei Briefe pro Monat. Und die Installation und Konfiguration sind mittlerweile zumindest einfach genug, um sie mithilfe dieser Anleitung bewältigen zu können. )

Während ich noch bei der Recherche war, fragte @mac auf MacTechNews nach für ihn brauchbaren PDF-Editoren jenseits von Adobe und trat damit einen laaangen Thread los, der sich über ein halbes Jahr erstreckte und bald auf digitale Signaturen konzentrierte: Alternative zu kostenpflichtigen PDF Tools wie Acrobat Pro/DC oder pdf won.... Diesem Thread, in den ich mich einklinkte, verdanke ich viele wichtige Informationen und Impulse, für die ich mich bei allen bedanken will, die dazu beigetragen haben, vornedran marm.

Das Resultat meiner Recherchen und Erfahrungen will ich in diesem Beitrag als hoffentlich verständliche und nachvollziehbare „Kochbuch“-Anleitung zum digitale Unterschreiben von PDFs präsentieren.

Dabei gilt es noch vor Beginn, eines klarzustellen: Es kursieren unter der Überschrift Digitales Signieren zwei völlig unterschiedliche Verfahren. Das eine Verfahren ist das Signieren von PDFs mit digitaler Zertifikate, die auf dem lokalen Rechner gespeichert sind und mit denen man die entsprechenden Dokumente eigenhändig versieht. Das ist das Verfahren, um das es hier ausschließlich gehen soll.

Es gibt noch eine zweite Variante, nämlich Software as a Service: Dazu lädt man sein PDF auf einen Server des entsprechenden Anbieters in les- und bearbeitbarer Form hoch, der unterschreibt es für einen (nachdem man beim Anlegen des Kundenkontos seine Identität nachgewiesen hat), ohne es ansonsten zu verändern, und sendet es dann zurück. Das muss man wollen, gerade bei potentiell wichtigen und vertraulichen Dokumenten, die unterschrieben werden müssen, aber keinesfalls mehr verändert werden dürfen.

Softwareanbieter lieben Software as a Service, weil das kontinuierliche Einnahmen sprudeln lässt. Von Seiten der Kunden ist es meist Bequemlichkeit, weil sie so von einer eventuellen technischen Komplexität des Vorgangs abgeschirmt werden; eine Datei auf einen Webserver hochladen kann dagegen heute jeder und der „Cloud“ wird oft blind vertraut.

Bei digitalen Unterschriften gibt es freilich einen validen Grund, solch einen Dienst in Anspruch zu nehmen: Die entsprechenden Dienste bieten praktisch alle an, bei Dokumenten, die von sehr vielen verschiedenen Personen unterzeichnet werden müssen (Teilnahmelisten zum Beispiel), diese Unterschriften alle einzuholen (die Unterzeichnenden werden dafür aufgefordert, sich alle auf dem Webserver des Dienstleisters anzumelden) und erst am Schluss das von allen unterzeichnete PDF an den Auftraggeber zurückzusenden, der somit die gesamte Arbeit des Sammelns los ist. Wenn die Dokumente selbst, wie eben etwa bei Teilnahmelisten, nicht besonders streng vertraulich sind, mag ein solcher Dienst hilfreich sein.

Ansonsten würde ich solch einen Dienst (es gibt viele verschiedene, typischerweise heißen sie alle xyz Sign, zum Beispiel Adobe Sign) schwerlich nutzen. Wie auch immer, um diese Form des Signierens geht es in dieser Anleitung nicht.


Ich habe die einzelnen Schritte in je einem eigenen Kapitel geschildert, die jeweils einem Posting entsprechen. Ich weiß, dass ich für meine langen Texte berüchtigt bin, aber bitte nicht erschrecken! Diese Anleitung hier ist nicht so lang, weil alles so kompliziert ist, sondern weil sie es einfach machen will, indem sie wirklich jeden Schritt schildert (und damit verbunden wegen der vielen Screenshots). Außerdem befasst sich die Anleitung zum allergrößten Teil mit der Einrichtung; ist erst einmal alles eingerichtet, geht das digitale Unterschreiben flott von der Hand.

Die Kapitel:
1. Rechtliche Situation
2. Kurzanleitung
3. Kauf eines D-TRUST-Personenzertifikats
      3a. Bestellung bei D-TRUST
      3b. Bestellung bei PSW
4. Zertifikat-Installation auf macOS
5. Verwendung des Zertifikats zum Signieren und Verschlüsseln von Email in Mail
6. Wahl des PDF-Programms
7. Zertifikat-Installation in Acrobat Reader
8. Konfiguration eines Zeitstempelservers
9. Das digitale Unterschreiben in Acrobat Reader
10. Die Validierung der digitalen Unterschrift in Acrobat Reader
11. Fehlerquellen
12. Tipps und Tricks



Ich hoffe, dass diese Anleitung viele von Euch ermutigt, sich mit dem Thema auseinanderzusetzen. Ist sozusagen mein kleiner Beitrag zum gegenwärtigen Aufbruch in die Digitalisierung. Die hängt ja nicht nur von unserer Regierung ab, sondern auch von uns.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
+51

Kommentare

marm05.01.2218:51
Weia
Ich habe jetzt mit LuxTrust telefoniert und laut deren Auskunft ist es ausdrücklich möglich, mit der App im Acrobat Reader zu unterschreiben (statt Chipkartenleser oder USB Token).
...
Ich konnte mir das Verfahren jetzt im Einzelnen nicht am Telefon erklären lassen, da ich die App ja nicht habe, aber es geht jedenfalls angeblich. Da hast Du Deine nächste Hausaufgabe.
Meine Hausaufgaben

Erster Versuch, digital signieren eines PDF. Ich markiere ein Feld im PDF und dort, wo ich sonst eine digitale ID auswähle, gibt es die Option "neue digitale ID konfigurieren" und anschließend "Signaturerstellungsgerät verwenden". Nach einer Aufforderung so ein Gerät anzuschließen - iPhone hängt bereits mit geöffnetem Zertifikat am Mac - erscheint eine Fehlermeldung.


Zweiter Versuch. In "Einstellungen für digitale IDs und vertrauenswürdige Zertifikate" habe ich versucht eine "Digitale ID hinzuzufügen" (Icon links oben). Dort kann ich dann dies wählen: "meine bestehende digitale ID von: Gerät, das an diesem Computer angeschlossen ist".

Beide Male gibt es folgende Fehlermeldung:
Adobe Acrobat konnte keine neuen digitalen IDs finden. Wenn Ihre digitale ID auf einem Hardware-Token gespeichert ist, vergewissern Sie sich, dass das Token angeschlossen und die Token-Schnittstelle korrekt konfiguriert ist. Wenn Sie weitere Unterstützung benötigen, wenden Sie sich an Ihren Systemadministrator.

Morgen rufe ich mal die Hotline an. Das wäre die Sensation, wenn das mit LuxTrust-App und Adobe klappt.

Die Software "LuxTrust-Middleware" habe ich gestern Abend installiert und wieder deinstalliert. Das sind drei Programm-Icons, die aus grauer Vor-Retina-Zeit stammen. Laut einer Support-Seite ist die Software nur für SmartCard, Signing Stick oder eID.
+2
marm05.01.2219:10
Das hat mir jetzt keine Ruhe gelassen. Alle drei Programme erkennen das iPhone nicht.
Hinter "Konfiguration" verbergen sich Proxy-Verbindungseinstellungen.

+1
Weia
Weia05.01.2219:31
marm
Meine Hausaufgaben
Danke!
Morgen rufe ich mal die Hotline an.
Ja, das ist wohl die einzige sinnvolle Möglichkeit.
Das wäre die Sensation, wenn das mit LuxTrust-App und Adobe klappt.
In der Tat.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
Weia
Weia05.01.2219:33
Weia
Oh, da weist Du mich unbeabsichtigt auf die erste wichtige Unklarheit in meinem Bericht hin. Mit Kündigungen sind nicht allgemein Vertragskündigungen, sondern ausschließlich Arbeits- oder Wohnungskündigungen gemeint. Das habe ich nirgendwo erwähnt und kann es jetzt nicht mehr ändern, doof. Mir war das leider so selbstverständlich, dass ich an normale Vertragskündigungen überhaupt nicht gedacht habe.
Ist jetzt im Originaltext in Kapitel 1 korrigiert.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
+1
mchytracek05.01.2219:56
Weia
mchytracek
Für alle Österreicher gibt es noch die Möglichkeit eine Handysignatur zu lösen. Das ist gratis und man kann damit diverse amtliche Services sowie Sozialversicherungs-Dinge erledigen/ansehen.
Da sind uns die Österreicher ja und Einiges voraus.
Mit Hilfe der "Digitales Amt"-App kann man dann auch beliebige PDFs mit seinem eigenen Zertifikat unterschreiben. Ist eine Sache von < 1Min Aufwand, kostet nix und kann auch die Oma machen
Kannst Du das noch etwas näher erläutern? Ist die Digitales Amt-App eine iPhone-App oder eine Mac-App? Dein Screenshot stammt ja jedenfalls vom Mac. Wie ist da das Zusammenspiel zwischen iPhone und Mac?

Und handelt es sich de facto um ein Online-Signatur-Verfahren (PDF wird zum Signieren hochgeladen) oder ein lokales (PDF bleibt auf dem Rechner)?

Die "Digitales Amt" App gibt es meines Wissens nach für iOS und Android. Eine Mac-App kenn ich noch nicht.
Es ist ein Online-Signatur-Verfahren, statt dem von dir beschriebenen lokalen Signatur Verfahren. Der Vorteil ist halt, dass der Staat die ganze Infrastruktur unterhält und bezahlt (inkl. meines privaten Zertifikats und der relativ einfachen Handhabung).

Natürlich ist es eine Frage des Vertrauens ob man ein online Verfahren nutzen möchte oder nicht, aber in diesem Fall kann man der Regierung und den Services wahrscheinlich vertrauen. In Österreich ist aber die ganze Handy-Signatur Infrastruktur schon so weit fortgeschritten, dass man damit wirklich sehr viele Amtswege erledigen kann (was ich auch wenn möglich zu 100% nutze). Beispiele:
-Lohnsteuerausgleich beantragen/abrufen
-Familienbeihilfe beantragen/ändern...
-Wohnsitz ändern
-Reisepass beantragen
-Wahlkarte beantragen
-Sozialversicherung Arztbesuche nachverfolgen/Rechnungen ansehen/Rechnungen einreichen...
-Pensionskonto ansehen
-und vieles mehr

Das Beispiel PDF habe ich am Mac erstellt in der Cloud gespeichert, mit Hilfe der iOS App signiert und wieder in der Cloud gespeichert (oder als Mail geteilt).

Wenn ich mir den Aufwand und die Kosten ansehe die du eingangs beschrieben hast ist das Verfahren wirklich nur etwas für "Enthusiasten" (um nicht "Freaks" zu sagen)

Wir arbeiten in unserer Firma auch an Infrastruktur um PDFs zu signieren. Ein Produkt für Firmen dazu gibt es bereits (https://www.rit.at/produkte/e-sign-agent) und derzeit arbeiten wir gerade an einer Lösung wo das PDF direkt in einer Browseranwendung signiert wird (ohne den eigenen Rechner zu verlassen) aber das Problem mit dem eignen Zertifikat bleibt bestehen. Einen wirklich einfachen Weg um ein PDF zu signieren gibt es allerdings noch nicht.

LG
Michael
+5
Weia
Weia05.01.2221:31
mchytracek
Die "Digitales Amt" App gibt es meines Wissens nach für iOS und Android. Eine Mac-App kenn ich noch nicht.
Es ist ein Online-Signatur-Verfahren, statt dem von dir beschriebenen lokalen Signatur Verfahren. Der Vorteil ist halt, dass der Staat die ganze Infrastruktur unterhält und bezahlt (inkl. meines privaten Zertifikats und der relativ einfachen Handhabung).

Natürlich ist es eine Frage des Vertrauens ob man ein online Verfahren nutzen möchte oder nicht, aber in diesem Fall kann man der Regierung und den Services wahrscheinlich vertrauen. In Österreich ist aber die ganze Handy-Signatur Infrastruktur schon so weit fortgeschritten, dass man damit wirklich sehr viele Amtswege erledigen kann (was ich auch wenn möglich zu 100% nutze).
Danke für die Erläuterungen!

Beim Erledigen von Amtswegen spricht ja auch nicht das Geringste dagegen, auf die Infrastruktur des Staates zurückzugreifen, da er schließlich ohnehin der Adressat der Information ist.

Bei der übrigen Kommunikation ist es halt so eine Sache. Man muss kein Verschwörungstheoretiker sein, um zu viel Zentralisierung an einem Punkt problematisch zu finden; das tut nie gut. Andererseits wäre es natürlich ungemein praktisch, wenn der Personalausweis in Zukunft auch gleichzeitig ein Personenzertifikat wäre. (Oder am Ende sogar das Personenzertifikat viel wichtiger würde als der Personalausweis und umgekehrt ihn ersetzen würde.) Ich bin in der Frage, was ich mir wünschen würde, da noch hin- und hergerissen.
Wir arbeiten in unserer Firma auch an Infrastruktur um PDFs zu signieren. Ein Produkt für Firmen dazu gibt es bereits (https://www.rit.at/produkte/e-sign-agent) und derzeit arbeiten wir gerade an einer Lösung wo das PDF direkt in einer Browseranwendung signiert wird (ohne den eigenen Rechner zu verlassen)
Interessant.
das Problem mit dem eignen Zertifikat bleibt bestehen.
Das liegt in der Natur der Sache. Um dich auszuweisen, brauchst du irgendwas, was dich ausweist.
Einen wirklich einfachen Weg um ein PDF zu signieren gibt es allerdings noch nicht.
Auch wenn ich so einen langen Text dazu geschrieben habe, im Prinzip finde ich das jetzige Verfahren ziemlich einfach. Woran es hapert, ist ein wirklich reibungsloser Ablauf in der GUI, der eben nicht zuletzt deshalb fehlt, weil die betroffenen Hersteller nicht wirklich die Motivation haben, Aufwand zu betreiben, um das Ganze narrensicher zu machen, weil es bisher eben nur Enthusiasten benutzen – der eingangs erwähnte Teufelskreis.

Man muss sich nur die unglaublich schlampige Lokalisierung des Vorgangs bei Adobe betrachten, um zu sehen, wie wenig Aufmerksamkeit der Hersteller einer ausgefeilten GUI schenkt.

In macOS ein hübsches Icon für .p12-Dateien, das deren Zweck augenfällig macht, im Acrobat Reader bei der Installation sofort automatisch geladene AATL und EUTL und noch ein paar Kleinigkeiten, bei D-TRUST schnellere und PSW einfachere Bestellvorgänge, und das Ganze wäre wirklich nicht mehr schwierig. Und all diese Dinge sind kein Hexenwerk.

Und bis dahin gilt, was marm gesagt hat: statt 2 Stunden Ogottogott zu denken, einfach einmal 2 Stunden hinsetzen und die Anleitung abarbeiten (ggf. in 2 Teilen für Zertifikatbestellung und Installation) und ab da läuft alles wie von selbst und man hat auch noch die Hintergründe verstanden (wenn man die weglässt, dauert der Vorgang keine 2 Stunden!). Gang zum Einwohnermeldeamt dauert länger.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
+2
Weia
Weia06.01.2207:09
Weia
In macOS ein hübsches Icon für .p12-Dateien, das deren Zweck augenfällig macht
Ich habe jetzt bemerkt, dass .p12-Dateien sehr wohl bereits ein zumindest einigermaßen intuitives Icon haben, das aber ausgerechnet in Spalten- und Listenansicht (die ja nur ein sehr kleines Icon verwenden) durch ein generisches Datei-Icon in Form eines unbeschriebenen Blattes ersetzt wird und auch als Anhang in der E-Mail, in der es geliefert wird, so aussieht, obwohl das Icon da ja viel größer ist. Das sind genau die Kleinigkeiten, die poliert werden müssten, damit das Ganze reibungsloser wird.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
marm06.01.2213:44
Soeben habe ich mit LuxTrust telefoniert. Das iPhone samt LuxTrust-App mit dem Macbook verbinden und die qualifizierte elektronische Signatur dann in Adobe zur Unterschrift nutzen, das funktioniert leider nicht.
Ich muss eine SmartCard von LuxTrust erwerben, separat noch ein Lesegerät kaufen und dann kann ich mit Adobe signieren.
+3
Weia
Weia06.01.2217:32
marm
Soeben habe ich mit LuxTrust telefoniert. Das iPhone samt LuxTrust-App mit dem Macbook verbinden und die qualifizierte elektronische Signatur dann in Adobe zur Unterschrift nutzen, das funktioniert leider nicht.
Hätte mich auch gewundert. Aber gestern hatte man es mir so gesagt, der Mitarbeiter hatte sich sogar noch bei Kollegen rückversichert. Man sieht: Nicht nur Forenteilnehmer finden das alles noch verwirrend und es muss sich alles in allem noch viel einspielen.

Das wäre doch total naheliegend: Qualifizierte digitale Unterschrift durch Touch ID / Face ID auf dem iPhone oder zukünftig auch auf dem Mac. Dass da noch nichts zu hören ist …!?!
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
+2
mschue
mschue07.01.2214:09
Auch ich möchte mich für dieses "HowTo" bedanken - Super, 'Weia'!

Ich hatte mich privat auch schon auf diese Erkundungstour begeben und bin immerhin auch schon bei D-Trust und deren Zertifikat herausgekommen.

Was mir aber noch nicht ganz klar ist: Mein Vorbild ist mein SIEMENS Werksausweis, mit dem ich mich sowohl authentifizieren als auch signieren und E-Mail verschlüsseln kann. Derzeit melde ich mich an meinem MacMini mit dem Firmenausweis + PIN an - ganz wie früher auf Arbeit.

Geht das alles mit einem Zertifikat? Oder braucht man zur Authentifizierung noch ein weiteres Zertifikat (das eigentlich auf dem Personalausweis sein sollte). Welches?

Und reicht es dann, diese ein oder zwei Zertifikate auf eine x-beliebige Smartcard zu kopieren? Oder wie könnte/sollte/müsste das laufen? Irgendwie macht SIEMENS das ja auch - und entgegen anders lautenden Berichten ist SIEMENS noch kein Staat im Staate

Aber eigentlich sollte mein Staat mir das auf meinem "Mitgliedsausweis" (PA) frei Haus liefern - das mal nur am Rand bemerkt.

Gruß - Matthias
+2
Weia
Weia07.01.2218:25
mschue
Was mir aber noch nicht ganz klar ist: Mein Vorbild ist mein SIEMENS Werksausweis, mit dem ich mich sowohl authentifizieren als auch signieren und E-Mail verschlüsseln kann. Derzeit melde ich mich an meinem MacMini mit dem Firmenausweis + PIN an - ganz wie früher auf Arbeit.
Jetzt stehe ich auf dem Schlauch – ich weiß nicht, was SIEMENS macht, aber zum Anmelden auf einem Mac brauchst Du hier und heute doch nur Nutzernamen und Passwort; was meinst Du denn mit Anmelden auf dem Mac mit Firmenausweis?
Geht das alles mit einem Zertifikat? Oder braucht man zur Authentifizierung noch ein weiteres Zertifikat (das eigentlich auf dem Personalausweis sein sollte). Welches?
Was Du mit Authentifizierung meinst, verstehe ich wie gesagt noch nicht und kann es daher nicht beantworten. Email Verschlüsseln und Signieren geht, wenn Du ein fortgeschrittenes Zertifikat verwendest; mit einem qualifizierten Zertifikat kannst Du nur signieren.
Und reicht es dann, diese ein oder zwei Zertifikate auf eine x-beliebige Smartcard zu kopieren?
Das ist ein Missverständnis. Fortgeschrittene Zertifikate brauchen überhaupt keine Smartcard und werden einfach in der macOS-Schlüsselbundverwaltung abgelegt; qualifizierte Zertifikate werden bereits auf der Smartcard (oder dem USB Token) ausgeliefert; in keinem Fall kannst Du etwas auf eine Smartcard oder ein USB Token kopieren – dann wäre ja der Sinn der Smartcard oder des Tokens weg, ein identifizierendes Unikat zu sein.
Irgendwie macht SIEMENS das ja auch - und entgegen anders lautenden Berichten ist SIEMENS noch kein Staat im Staate
Das nicht – aber sicher groß genug, um sein eigenes firmeninternes Süppchen zu kochen.
Aber eigentlich sollte mein Staat mir das auf meinem "Mitgliedsausweis" (PA) frei Haus liefern - das mal nur am Rand bemerkt.
Ja, da bin ich wie gesagt zwiegespalten – praktisch wäre das, aber wenn ich an das Desaster mit der de-Mail denke („Ist verschlüsselt, bis auf einen klitzekleinen Moment beim Provider“), weiß ich nicht, ob ich will, dass der Staat meine Verschlüsselungsinfrastruktur betreibt. Verschlüsselung ist ein Freiheitsrecht, und Freiheitsrechte meinen immer auch und insbesondere Freiheit gegenüber Staat und Staatsgewalt.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
mschue
mschue07.01.2222:55
Weia
Jetzt stehe ich auf dem Schlauch – ich weiß nicht, was SIEMENS macht, aber zum Anmelden auf einem Mac brauchst Du hier und heute doch nur Nutzernamen und Passwort; was meinst Du denn mit Anmelden auf dem Mac mit Firmenausweis?

Ich habe einen USB-Smartcard-Reader (Omnikey Cardman 3121) an meinen Mac angeschlossen und lese die SmartCard mittels OpenSC. Findet der Mac eine SmartCard mit authentifizierendem Zertifikat, verschwinden Name & Password Eingabe, stattdessen wird die PIN abgefragt. Der Useraccount ergibt sich aus dem Zertifikat (wird beim ersten Mal Anmelden mit SmartCard zugeordnet). Klappt gut , die Karte muss allerdings 'at boottime' eingesteckt sein - die Software bräuchte noch etwas Feinschliff.
Was Du mit Authentifizierung meinst, verstehe ich wie gesagt noch nicht und kann es daher nicht beantworten. Email Verschlüsseln und Signieren geht, wenn Du ein fortgeschrittenes Zertifikat verwendest; mit einem qualifizierten Zertifikat kannst Du nur signieren.

Na ja, Authentifizieren heiß letztendlich Zugangskontrolle: Zum Rechner, zur Firma, in den Serverraum etc. Identitätsnachweis - das ist ja was anderes als eine Unterschrift (Signatur).

Ich glaube, die D-TRUST Signaturkarte kommt meinen Vorstellungen schon recht nahe:
"Ein qualifiziertes Zertifikat aus der eIDAS-PKI zum Zweck der Signatur und ein nicht qualifiziertes Zertifikat zur Authentisierung" - das klingt doch gut. Allerdings irritiert mich die Limitierung der Signaturen. Kann ich damit nur 'n' Dokumente signieren und dann ist das Zertifikat aufgebraucht? Was sollte das denn... ?
Das ist ein Missverständnis. Fortgeschrittene Zertifikate brauchen überhaupt keine Smartcard und werden einfach in der macOS-Schlüsselbundverwaltung abgelegt; qualifizierte Zertifikate werden bereits auf der Smartcard (oder dem USB Token) ausgeliefert; in keinem Fall kannst Du etwas auf eine Smartcard oder ein USB Token kopieren – dann wäre ja der Sinn der Smartcard oder des Tokens weg, ein identifizierendes Unikat zu sein.

Right! Klar, da hast Du eigentlich Recht. Bei SIEMENS wurde allerdings nach Ablauf des (welchen?) Zertifikats der Nachfolger am Arbeitsplatz auf die SmartCard aufgespielt. Vermutlich handelte es sich aber um das Signaturzertifikat. Die alten Zertifikate braucht man ja weiterhin, um die alten E-Mails entschlüsseln zu können.
Das Authentifizierungszertifikat hat vermutlich eine "ewige" Laufzeit - an meiner Identität ändert sich in aller Regel ja nix. Auf meiner Karte sind auch mittlerweile diverse Signaturzertifikate drauf - alle bis auf eines natürlich abgelaufen. Aber die PrivateKeys zum Entschlüsseln laufen vermutlich nicht ab - kann ja gar nicht sein.
Ja, da bin ich wie gesagt zwiegespalten – praktisch wäre das, aber wenn ich an das Desaster mit der de-Mail denke („Ist verschlüsselt, bis auf einen klitzekleinen Moment beim Provider“), weiß ich nicht, ob ich will, dass der Staat meine Verschlüsselungsinfrastruktur betreibt. Verschlüsselung ist ein Freiheitsrecht, und Freiheitsrechte meinen immer auch und insbesondere Freiheit gegenüber Staat und Staatsgewalt.

Ja klar, da stimme ich Dir zu. Aber lege ich das Passwort für den Private Key nicht bereits im CSR fest? Die Zertifizierungsinstitutionen können doch nicht alle E-Mails, die mit ihren Zertifikaten verschlüsselt worden sind, entschlüsseln. Ansonsten wären D-Trust Zertifikate ja sinnarm, wenn der Verfassungsschutz die damit verschlüsselten E-Mails eh lesen kann. (mal unterstellt, dass die Bundesdruckerei im Staatsbesitz ihre Geheimnisse mit den entsprechenden Diensten des Staates teilt).
0
mschue
mschue07.01.2223:38
Weia
Ja, da bin ich wie gesagt zwiegespalten – praktisch wäre das, aber wenn ich an das Desaster mit der de-Mail denke („Ist verschlüsselt, bis auf einen klitzekleinen Moment beim Provider“), weiß ich nicht, ob ich will, dass der Staat meine Verschlüsselungsinfrastruktur betreibt. Verschlüsselung ist ein Freiheitsrecht, und Freiheitsrechte meinen immer auch und insbesondere Freiheit gegenüber Staat und Staatsgewalt.

Ich habe nochmal etwas gegrübelt... ich glaube, Du liegst falsch. Die PKI-Infrastruktur dient doch "nur" der Glaubwürdigkeit des Signaturzertifikats sowie des darin enthaltenen öffentlichen Schlüssels - wie der Name schon sagt: PKI= Public Key Infrastructure. Dein "Private Key", den Du zum Entschlüsseln brauchst, hast NUR Du. Idealerweise wird der beim Erzeugen des CSR auf dem lokalen Rechner generiert und verbleibt auch da. Siehe 'man openssl'.

Essentiell ist natürlich, daß man den CSR lokal erzeugt bzw. erzeugen kann.
0
mschue
mschue07.01.2223:53
mschue
Ich glaube, die D-TRUST Signaturkarte kommt meinen Vorstellungen schon recht nahe:
"Ein qualifiziertes Zertifikat aus der eIDAS-PKI zum Zweck der Signatur und ein nicht qualifiziertes Zertifikat zur Authentisierung" - das klingt doch gut. Allerdings irritiert mich die Limitierung der Signaturen. Kann ich damit nur 'n' Dokumente signieren und dann ist das Zertifikat aufgebraucht? Was sollte das denn... ?

OK - Limitierung der Signaturen pro PIN-Eingabe - das ist natürlich kein Problem.

Aber das qualifizierte Zertifikat zur Signatur ist das Problem: das ist kein fortgeschrittenes Zertifikat, mit dem man auch verschlüsseln kann. Ich kämpfe noch etwas mit den Begrifflichkeiten...

Und das Ganze für 180€ mit 3 Jahren Gültigkeit - nicht ganz umsonst...
0
Weia
Weia08.01.2200:27
mschue
Ich habe einen USB-Smartcard-Reader (Omnikey Cardman 3121) an meinen Mac angeschlossen und lese die SmartCard mittels OpenSC. Findet der Mac eine SmartCard mit authentifizierendem Zertifikat, verschwinden Name & Password Eingabe, stattdessen wird die PIN abgefragt. Der Useraccount ergibt sich aus dem Zertifikat (wird beim ersten Mal Anmelden mit SmartCard zugeordnet). Klappt gut
Schick. Das ist das erste Mal in meinem Leben, dass ich von sowas höre.
Na ja, Authentifizieren heiß letztendlich Zugangskontrolle: Zum Rechner, zur Firma, in den Serverraum etc.
Als solches klar – nur wusste ich eben von dieser Möglichkeit des Authentifizierens am Mac nichts.
Ich glaube, die D-TRUST Signaturkarte kommt meinen Vorstellungen schon recht nahe:
"Ein qualifiziertes Zertifikat aus der eIDAS-PKI zum Zweck der Signatur und ein nicht qualifiziertes Zertifikat zur Authentisierung" - das klingt doch gut. Allerdings irritiert mich die Limitierung der Signaturen. Kann ich damit nur 'n' Dokumente signieren und dann ist das Zertifikat aufgebraucht? Was sollte das denn... ?
Die Einnahmen der Zertifizierungsstelle erhöhen, denn selbstverfreilich kannst Signaturpakete nachkaufen. Das hängt vom konkreten Angebot ab.

Hast Du einen Link zur Beschreibung des spezifischen Produkts, das Du meinst? Es gibt bei D-TRUST x Varianten von Signaturkarten.

Aber meines Wissens gilt für alle Signaturkarten von D-TRUST, dass sie noch nicht mit dem Mac funktionieren, weil die Treiber für das Kartenlesegerät noch nicht fertig sind.
Das Authentifizierungszertifikat hat vermutlich eine "ewige" Laufzeit - an meiner Identität ändert sich in aller Regel ja nix.
Aber an der Wahrscheinlichkeit, dass jemand Deine Identität geklaut hat – die steigt linear mit der Zeit an. Daher gibt es keine Zertifikate mit unbegrenzter Gültigkeit; normalerweise sind 3 Jahre das Längste.
Auf meiner Karte sind auch mittlerweile diverse Signaturzertifikate drauf - alle bis auf eines natürlich abgelaufen.
Nach meinem Verständnis (aber noch keine eigene Erfahrung) kann man auf Signaturkarten wie die von D-TRUST nichts aufspielen; ist die alte abgelaufen, braucht man eine neue, wie bei Kreditkarten, Personalausweisen usw. auch. Das scheint irgendeine Sonderlösung zu sein, die Du da hast.
Aber die PrivateKeys zum Entschlüsseln laufen vermutlich nicht ab - kann ja gar nicht sein.
Stimmt; Schlüssel können nicht ablaufen, weder private noch öffentliche, denn sie sind de facto ja nur eine Zahl.

Nur ein
             Zertifikat = öffentlicher Schlüssel + Zusatzinformationen
             (deren Zugehörigkeit durch eine Zertifikatskette beglaubigt ist)

kann ablaufen, da zu den Zusatzinformationen eben auch ein Ablaufdatum gehören kann.
Aber lege ich das Passwort für den Private Key nicht bereits im CSR fest?
Nein, im CSR darf der private Schlüssel ja gerade gar nicht auftauchen!

Idealiter läuft der Prozess so ab:
  • Du erzeugst auf Deinem Rechner ein Schlüsselpaar mit einer geeigneten Software.
  • Den privaten Schlüssel gibt Du nie aus der Hand.
  • Den öffentliche Schlüssel und Deine Identitätsdaten schreibst Du in den CSR.
  • Den CSR sendest Du an die Registrierungsstelle (das geht überhaupt nur bei PSW).
  • Die Registrierungsstelle überprüft Deine Identitätsdaten im CSR anhand von Personalausweis oder entsprechenden Dokumenten und sendet sie dann an die Zertifizierungsstelle.
  • Die macht aus dem CSR ein Zertifikat, indem öffentlichen Schlüssel und Identitätsdaten zusammenfügt und mit einem Zwischenzertifikat signiert, also beglaubigt, dass diese Daten zusammengehören.
  • Das bekommst Du zurück, setzt es mit Deinem privaten Schlüssel zusammen (zu einer .p12-Datei) und importierst es in den macOS-Schlüsselbundverwaltung. Erst beim Erstellen der .p12-Datei vergibt Du ein Passwort, dass Du auch nur brauchst, um diese Datei in die macOS-Schlüsselbundverwaltung zu importieren. Falls Du die .p12-Datei danach vernichtest, weil Du das Zertifikat nur in dieser einen macOS-Schlüsselbundverwaltung brauchst, kannst Du dieses Passwort auch gleich wieder entsorgen; ab da sind Zertifikat und persönlicher Schlüssel durch das Passwort des Schlüsselbundes geschützt, in den Du sie importiert hast.

Realiter ist den meisten Anwendern das Erzeugen eines Schlüsselpaares und spätere Zusammenbauen von privatem Schlüssel und Zertifikat aber zu kompliziert (und wenn sie Signaturkarten verwenden, geht es eh nicht). Daher überlassen sie es der Registrierungsstelle. PSW musst Du vertrauen, dass sie den privaten Schlüssel im Augenblick der Schlüsselpaar-Generierung im Webbrowser-Fenster nicht abgreifen (und später beim Zusammensetzen von Zertifikat und privatem Schlüssel); bei D-TRUST hast Du überhaupt keine Wahl; der Vorgang ist völlig opak und Du musst ihnen glauben, dass der private Schlüssel in den ganzen Wochen, die Dein Antrag dort verbringt, nicht abgegriffen wird.
Die Zertifizierungsinstitutionen können doch nicht alle E-Mails, die mit ihren Zertifikaten verschlüsselt worden sind, entschlüsseln.
Solange Du nicht das als idealiter beschriebene Vorgehen verwendest, könnten sie das prinzipiell; Du musst ihnen vertrauen, dass sie den privaten Schlüssel nicht „abzweigen“. Und das tue ich bei Vater Staat nach der de-Mail-Erfahrung eher weniger. Wobei ich D-TRUST eher nicht direkt mit Staat gleichsetzen würde und bei Bestellung über PSW man bei entsprechend großem Misstrauen ja auch das Idealiter-Verfahren verwenden könnte.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
albertyy08.01.2200:31
Mannomann ! Das ist eine großartige Arbeit Weia !
Klasse !
0
Weia
Weia08.01.2200:36
mschue
Ich habe nochmal etwas gegrübelt... ich glaube, Du liegst falsch. Die PKI-Infrastruktur dient doch "nur" der Glaubwürdigkeit des Signaturzertifikats sowie des darin enthaltenen öffentlichen Schlüssels - wie der Name schon sagt: PKI= Public Key Infrastructure.
Ich habe nie etwas anderes behauptet.
Dein "Private Key", den Du zum Entschlüsseln brauchst, hast NUR Du. Idealerweise wird der beim Erzeugen des CSR auf dem lokalen Rechner generiert und verbleibt auch da. Siehe 'man openssl'.
Ja, idealerweise. Bei den hier vorgestellten Verfahren aber nicht.
Essentiell ist natürlich, daß man den CSR lokal erzeugt bzw. erzeugen kann.
Für 100%ige Sicherheit ja.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
+1
mschue
mschue08.01.2200:47
Ja OK - ich glaube, jetzt ist es endgültig klar.

Die D-Trust "Signaturkarte 4.1 Standard" sieht mit ihren "technischen Daten" dem angesprochenen Siemens-Ausweis sehr ähnlich, inkl. der Kontaktflächen. Wenn eine SmartCard (noch) solche außenliegende Kontakte hat, müste sie eigentlich auch mit "meinem" OmniKey Cardreader zu lesen sein. Dafür gibt es (alte) macOS-Treiber.

Das ist ja eines der Probleme mit dem neuen PA - nur kontaktlos zu lesen mit einem 100€ ReinerSCT-Leser - so erreicht man die Massen...

Ich müsste das auf meiner "Catalina-Virgin-Partition" mal ausprobieren, ob ich die OpenSC-Installation nochmal reproduzieren kann. Da ist außer Catalina inkl. Security-Updates nichts sonst drauf - das sollte eigentlich ein aussagekräftiger Test sein.

Danke für Deine qualifizierten Antworten! So einen Ansprechpartner brauch(t)e ich

Gruß - Matthias
0
Weia
Weia08.01.2200:48
mschue
Aber das qualifizierte Zertifikat zur Signatur ist das Problem: das ist kein fortgeschrittenes Zertifikat, mit dem man auch verschlüsseln kann. Ich kämpfe noch etwas mit den Begrifflichkeiten...
Na, das ist klar (siehe oben):
  • Fortgeschrittenes Zertifikat: Keine Hardware/kein zweiter Faktor erforderlich, für Email nutzbar, vor Gericht freie Beweiswürdigung (Abwägen durch den Richter)
  • Qualifiziertes Zertifikat: Hardware/zweiter Faktor erforderlich, für Email nicht nutzbar, bis auf wenige Ausnahmen einer Unterschrift von Hand gleichgestellt
Und das Ganze für 180€ mit 3 Jahren Gültigkeit - nicht ganz umsonst...
Ah, dann meinst Du also die D-Trust Card 4.1, auf die ich mich Kapitel 3 bezog. Die kann man mangels Treibern für das Kartenlesegerät wie gesagt auf dem Mac eh noch nicht verwenden.

Ich halte eine fortgeschritten Zertifikat aber eh für die viel praxistauglichere Lösung. Man muss ja nicht gleich von 0 auf 100. Siehe dazu auch meinen nächsten Beitrag.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
Weia
Weia08.01.2201:12
Zum Unterschied von fortgeschrittenem versus qualifiziertem Zertifikat:

Ich bin heute zufällig auf die Website eines Dienstleisters für Personalbüros gestoßen, der das Thema Welche Unterschrift für was? für seinen Themenbereich abhandelt. Ich fand, das vermittelt exemplarisch ein ganz gutes Gefühl für die verschiedenen rechtlichen Bereiche:

Erster Eindruck: die fortgeschrittene Signatur reicht für Vieles; und wenn es kritisch wird, ist doch ganz schnell wieder die handschriftliche Signatur gefragt. Für die qualifizierte Signatur bleiben da gar nicht so viele Anwendungsfelder. Muss nicht repräsentativ sein, aber ist halt ein Beispiel aus der Praxis.

Treppenwitz am Rande: Ich stehe wirklich mit dem Thema Kündigungen auf Kriegsfuß: Zunächst schrieb ich Kapitel 3, Kündigungen seien ein Beispiel für die Notwendigkeit qualifizierter Signaturen, und dachte dabei ausschließlich an Arbeits- und Wohnungskündigungen, ohne auf dem Schirm zu haben, dass es auch harmlose Dinge wie Abokündigungen gibt, die natürlich keine qualifizierten Signaturen benötigen. Dann habe ich die Passage in explizit Arbeits- und Wohnungskündigungen geändert, nur um jetzt von diesem Personaldienstleister, dem ich zunächst mal entsprechende Kompetenz zubillige, zu erfahren, dass Arbeitskündigungen gerade kein Beispiel für qualifizierte Signaturen sind, weil sie sogar handschriftliche Signaturen erfordern.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
Weia
Weia08.01.2201:16
mschue
Ich müsste das auf meiner "Catalina-Virgin-Partition" mal ausprobieren, ob ich die OpenSC-Installation nochmal reproduzieren kann. Da ist außer Catalina inkl. Security-Updates nichts sonst drauf - das sollte eigentlich ein aussagekräftiger Test sein.
Das wäre spannend.
Danke für Deine qualifizierten Antworten!
Iwo, das waren nur fortgeschrittene Antworten.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
Weia
Weia08.01.2201:47
mschue
Wenn eine SmartCard (noch) solche außenliegende Kontakte hat, müste sie eigentlich auch mit "meinem" OmniKey Cardreader zu lesen sein. Dafür gibt es (alte) macOS-Treiber.
Da wäre allerdings noch das Problem der Aktivierungs-Software, die es bislang auch nur für Windows gibt:
D-Trust
Die Software „D-TRUST Card Assistant“ zur Karten- initialisierung und PIN-Änderung wird kostenlos bereitgestellt
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
mschue
mschue08.01.2211:27
OK, Parallels ist ja erfunden (zumindest für Intel-Macs) - aber jetzt geht's langsam zu weit.

Ich habe Deine Antworten nochmal sacken lassen und komme zu dem selben Ergebnis wie Du: Die "Advanced Personal ID" ist es. Und meine Anmeldung via SmartCard ist eher ein Ausloten was technisch geht auf dem Mac denn (sicherheits-)technische Notwendigkeit.

Im Mai 22 läuft mein SwissSign-Zertifikat (E-Mail ID Silver) ab, dann steht der Wechsel an - beschlossen und verkündet.
0
marm08.01.2211:39
Weia
mschue
Ich habe einen USB-Smartcard-Reader (Omnikey Cardman 3121) an meinen Mac angeschlossen und lese die SmartCard mittels OpenSC. Findet der Mac eine SmartCard mit authentifizierendem Zertifikat, verschwinden Name & Password Eingabe, stattdessen wird die PIN abgefragt. Der Useraccount ergibt sich aus dem Zertifikat (wird beim ersten Mal Anmelden mit SmartCard zugeordnet). Klappt gut
Schick. Das ist das erste Mal in meinem Leben, dass ich von sowas höre.
Diese Art der Anmeldung klappt auch mit einem YubiKey

Yubikey funktioniert seit rund 2 Jahren auch mit Safari
+2
Weia
Weia08.01.2216:22
mschue
Im Mai 22 läuft mein SwissSign-Zertifikat (E-Mail ID Silver) ab
Lustig, genau das hatte ich vorher auch.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
Dayzd08.01.2216:24
Weia
Zum Unterschied von fortgeschrittenem versus qualifiziertem Zertifikat:

Ich bin heute zufällig auf die Website eines Dienstleisters für Personalbüros gestoßen, der das Thema Welche Unterschrift für was? für seinen Themenbereich abhandelt. Ich fand, das vermittelt exemplarisch ein ganz gutes Gefühl für die verschiedenen rechtlichen Bereiche:

...

Dazu muss man aber sagen, dass die Tabelle von Personio selbst stammt und der zitierte Rechtsanwalt nichts in der Hinsicht sagt, dass in Fällen, wo per Gesetz eine handschriftliche Unterschrift gefordert wird, nicht auch die qualifizierte elektronische Unterschrift angewendet werden kann.

Dies würde ja auch komplett der Gleichstellung beider Unterschriftsarten seitens des Gesetzgebers widersprechen.

Jedoch spielt es grundsätzlich eine Rolle, in welcher Form das Schriftstück vorliegt und überreicht werden muss. Wenn beispielsweise explizit ein Brief / Papierform vorgeschrieben ist, dann kommt man ja notgedrungen, um eine handschriftliche nicht herum.
Bei Arbeitsvertragskündigung ist ganz einfach die "elektronische Form" des Schriftstückes explizit im Gesetz ausgeschlossen. (siehe § 623 BGB)
Ich denke, damit hat der Gesetzgeber primär versucht Privatpersonen sowie auch 90% aller Firmen zu schützen, da unsere Gesellschaft einfach noch nicht soweit ist (sieht man ja hier an dem Thread schon bei technisch affinen Menschen).

Nochmal zu qualifiziert vs. handschriftlich:
Aus technischer Sicht ist ja ganz klar, dass eine handschriftliche Unterschrift in einem PDF - denen zwar viele Personen und Firmen noch immer einen hohen Stellenwert zuweisen - einfach keine Bedeutung hat. Es sind reine Pixel, die in ein beliebiges andere PDF kopiert werden können, ohne dass dies technisch erkennbar wäre.

Digitale Dokumente elektronische Unterschriften (+aus stilistischen Gründe die handschriftliche)
Papierdokumente handschriftliche Unterschriften

In einem Rechtsstreit, bei dem es wirklich am Ende auf die reine Unterschrift ankommt, wird man immer einen Nachteil haben, wenn man von diesen Form - Unterschriftart - Paaren abweicht.


Ganz am Ende vielleicht noch ein anderes Beispiel aus der Praxis:
In Luxemburg werden alle großen, öffentliche Ausschreibungen über eine Plattform verwaltet, die auch automatisch die elektronischen Unterschriften prüft und nicht elektronisch unterschriebene Angebote sind ungültig. Da geht es z.B. schon garnicht mehr mit handschriftlich unterschriebenen Angeboten.
+3
mschue
mschue08.01.2220:39
Sehr schön! Bitte an Volker Wissing (BMVI) weiterleiten.
+2
Thomtenh09.01.2223:33
Vielen Dank Weia für die tolle Anleitung. Mit dem Adobe Reader funktioniert das Signieren auf dem Mac bei mir prima.
Kennt jemand eine Lösung auf dem IPad?
Außerdem scanne ich meine Verträge und Rechnungen per Scanner Pro mit dem IPad oder IPhone ein und lege alles auf dem NAS ab. Ich würde die Dokumente gerne mit Zeitstempel signieren und unveränderlich machen. Habt ihr einen Tipp für einen möglichst einfachen Workflow.
0
Weia
Weia10.01.2203:07
Thomtenh
Mit dem Adobe Reader funktioniert das Signieren auf dem Mac bei mir prima.
Kennt jemand eine Lösung auf dem IPad?
Acrobat Reader? Wenn das schon auf dem Mac die einzig voll funktionierende App ist, wird das auf dem iPad nicht weniger so sein. Wenn es mit einer App geht, dann mir der (probiert habe ich das aber nicht). Natürlich muss der Schlüsselbund auf dem iPad entweder mit dem Mac synchronisiert sein oder Du musst dir die .p12-Datei mit einer Email aufs iPad schicken und aus der Email in den Schlüsselbund vom iPad importieren.
Außerdem scanne ich meine Verträge und Rechnungen per Scanner Pro mit dem IPad oder IPhone ein und lege alles auf dem NAS ab. Ich würde die Dokumente gerne mit Zeitstempel signieren und unveränderlich machen. Habt ihr einen Tipp für einen möglichst einfachen Workflow.
Was haben nur alle immer mit diesen NAS? Wenn Du einen lokalen Ordner auf dem Mac nutzen würdest, würde ich zu einer simplen Ordneraktion raten, die alle eintrudelnden PDFs im Acrobat Reader öffnet, der dann aufs Zeitstempeln wartet. Aber auf einem NAS gibt es natürlich keine Ordneraktionen.

Für vollautomatisches Zeitstempeln bräuchtest Du Kommandozeilen-Tools. Wenn überhaupt, sollte das mit PDF-Tools gehen. High-Tech und teuer.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
Thomtenh10.01.2217:36
Auf dem IPad funktioniert es leider nicht so einfach. Ich habe kaum Apps gefunden, die elektronisches signieren unterstützen. Mit signieren ist bei denen fast immer nur das Unterschreiben mit dem Stift oder einer Grafik gemeint wie bei Adobe Reader, Goodreader oder PdfExpert. Ich habe den Foxit PDF - Editor gefunden und ein Testabo abgeschlossen. Der sollte dann digitale Unterschrift mit Zertifikat können. Leider findet er kein Zertifikat, obwohl mein.p12 Zertifikat bei EMails einwandfrei funktioniert. PDFs, die in Adobe auf dem Mac unterschrieben und dort mit gültiger Unterschrift angezeigt werden, erscheinen auf dem IPad mit Unterschrift unbekannt.

Bei Foxit im Forum habe ich leider nichts hilfreiches gefunden.
Hat vielleicht einer eine Idee, wie man unter I(Pad)OS mit einem Zertifikat umgehen muss. Muss es evtl. anders als das für die EMail installiert werden?
0
Stefab
Stefab10.01.2220:39
Hätte da nur so eine Zwischenfrage:
Was ich nicht so ganz verstehe, warum kann man im Adobe Reader selbst Zertifikate anlegen und was haben die dann für eine Bedeutung (2 mit "member:blablabla" waren schon vorhanden, mit paar Monate unterschiedlichem Datum) kann irgendwie nicht so recht rausfinden, was das sein soll …

Ansonsten ist das für mich privat uninteressant (für 1x alle heiligen Zeiten vielleicht benötigt, dafür brauche ich kein Abo, nur aus Interesse angesehen), außer für die staatlichen (AT) Sachen, die Handysignatur möchte ich mir schon demnächst mal holen.
0
Dayzd10.01.2222:27
Stefab
Hätte da nur so eine Zwischenfrage:
Was ich nicht so ganz verstehe, warum kann man im Adobe Reader selbst Zertifikate anlegen und was haben die dann für eine Bedeutung (2 mit "member:blablabla" waren schon vorhanden, mit paar Monate unterschiedlichem Datum) kann irgendwie nicht so recht rausfinden, was das sein soll …
Mit einem eigens erstellten Zertifikat bestätigst du selbst diese "Identität".
So wie der Staat mit der Ausstellung deines Ausweises dafür gerade steht, dass du mit dem Ausweis auch wirklich diese Person bist. Und das macht natürlich nur Sinn, wenn Vertrauen in den Staat (der Herausgeber/Ersteller) besteht, so dass beispielsweise eine Bank darauf vertrauen kann, dich alleine durch eine Kopie deines Ausweises korrekt identifizieren zu können.
Wenn du selbst ein Zertifikat erstellt, spielst du in dem Fall Staat. Wer dir natürlich vertraut als Herausgeber des Zertifikates, ist dann die entscheidende Frage.
Wenn du aber wie Thomtenh z.B. nur deine eigene Scans damit unterschreibst bzw. zertifizierst, damit du in 10 Jahren prüfen kannst, ob diese nicht manipuliert worden sind, dann kann in dem Fall ein eigenes Zertifikat vollkommen ausreichen.

Anderes Beispiel: Jeder Mitarbeiter hat bei uns durch ActiveDirectory unter Windows ein eigenes Zertifikat, und wir wenden dieses bei Dokumenten an, wo keine qualifizierte Unterschrift nötig ist, es jedoch wichtig ist, dass kein Dritter z.B. eine Seite einfach austauschen oder Zahlen manipulieren kann. In dem Fall ist mein Arbeitergeber im Zweifelsfall die Stelle, die bestätigt, dass dieses Zertifikat auch zu mir, einem seiner Mitarbeiter gehört, und nicht von sonst wem stammt.
+2
Thomtenh11.01.2222:29
Thomtenh
Bei Foxit im Forum habe ich leider nichts hilfreiches gefunden.
Hat vielleicht einer eine Idee, wie man unter I(Pad)OS mit einem Zertifikat umgehen muss. Muss es evtl. anders als das für die EMail installiert werden?

Der Support von Foxit hat mir dann helfen können. Die Lösung war, dass das Zertifikat in Foxit installiert werden muss. Danach funktioniert es einwandfrei (Das Abo für 11,49€ im Jahr vorausgesetzt).
Hier die Schritte zur Lösung:
Können Sie bitte versuchen, das Zertifikat mit dem iPad zu öffnen und es dann in Foxit PDF Editor zu exportieren.
1. Öffnen Sie das Zertifikat auf Ihrem iPad
2. Klicken Sie auf das Symbol „Freigeben“ und wählen Sie „Mit Foxit PDF Editor Mobile öffnen“.
3. Dann öffne ein PDF mit unserer mobilen App
4. Wählen Sie Signieren und tippen Sie auf das Zertifikatssymbol
Dort sehen Sie jetzt Ihr Zertifikat
5. Wählen Sie das Zertifikat aus, um es zu verwenden (Sie werden möglicherweise aufgefordert, das Passwort des Zertifikats einzugeben)
+1
Weia
Weia11.01.2222:34
Stefab
(2 mit "member:blablabla" waren schon vorhanden, mit paar Monate unterschiedlichem Datum) kann irgendwie nicht so recht rausfinden, was das sein soll …
Das sind intern von macOS automatisch angelegte Zertifikate zur Verschlüsselung der Datenübertragung von iCloud, App Store und anderen Apple-Diensten.
Ansonsten ist das für mich privat uninteressant (für 1x alle heiligen Zeiten vielleicht benötigt,
Das könnte sich in Zukunft ändern, wobei Ihr in Österreich mit der Handysignatur natürlich schon sehr viele relevante Felder abdeckt.
dafür brauche ich kein Abo
Du brauchst kein Abo.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
Deflator
Deflator11.01.2222:48
Vielen Dank! Sehr schön nachvollziehbar zusammengestellt.
0
Weia
Weia11.01.2223:20
Thomtenh
Auf dem IPad funktioniert es leider nicht so einfach. Ich habe kaum Apps gefunden, die elektronisches signieren unterstützen. Mit signieren ist bei denen fast immer nur das Unterschreiben mit dem Stift oder einer Grafik gemeint wie bei Adobe Reader, Goodreader oder PdfExpert.
GoodReader oder PDF Expert ist klar (die können das prinzipiell nicht), aber dass die iPad-Version vom Adobe Reader das nicht kann, finde ich bemerkenswert.
Ich habe den Foxit PDF - Editor gefunden und ein Testabo abgeschlossen. Der sollte dann digitale Unterschrift mit Zertifikat können.
Na, wenigstens einer …
Thomtenh
Der Support von Foxit hat mir dann helfen können. Die Lösung war, dass das Zertifikat in Foxit installiert werden muss. Danach funktioniert es einwandfrei (Das Abo für 11,49€ im Jahr vorausgesetzt).
Hier die Schritte zur Lösung:
Können Sie bitte versuchen, das Zertifikat mit dem iPad zu öffnen und es dann in Foxit PDF Editor zu exportieren.
1. Öffnen Sie das Zertifikat auf Ihrem iPad
2. Klicken Sie auf das Symbol „Freigeben“ und wählen Sie „Mit Foxit PDF Editor Mobile öffnen“.
3. Dann öffne ein PDF mit unserer mobilen App
4. Wählen Sie Signieren und tippen Sie auf das Zertifikatssymbol
Dort sehen Sie jetzt Ihr Zertifikat
5. Wählen Sie das Zertifikat aus, um es zu verwenden (Sie werden möglicherweise aufgefordert, das Passwort des Zertifikats einzugeben)
Vielen Dank für diese Info!

Der Foxit PDF Editor (auf dem Mac) scheint Probleme mit der LTV-Fähigkeit von Signaturen zu haben; dem spüre ich gerade nach.

Könntest Du bitte mal Folgendes testen:
  • Auf dem iPad mit dem Foxit PDF Editor ein PDF signieren
  • Auf dem Mac dieses PDF im Acrobat Reader öffnen
  • Das „Unterschriftsfenster“ (de facto die linke Seitenleiste im Dokumentfenster) einblenden und schauen, ob die Unterschrift LTV-fähig ist?

Danke!
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
Thomtenh12.01.2214:31
Weia

Der Foxit PDF Editor (auf dem Mac) scheint Probleme mit der LTV-Fähigkeit von Signaturen zu haben; dem spüre ich gerade nach.

Könntest Du bitte mal Folgendes testen:
  • Auf dem iPad mit dem Foxit PDF Editor ein PDF signieren
  • Auf dem Mac dieses PDF im Acrobat Reader öffnen
  • Das „Unterschriftsfenster“ (de facto die linke Seitenleiste im Dokumentfenster) einblenden und schauen, ob die Unterschrift LTV-fähig ist?

Auf dem IPad mit Foxit PDF Editor steht, dass die Unterschrift LTV-fähig ist.

Auf dem Mac mit Adobe Reader steht, dass sie Zeit von der Uhr des Computers (IPad) stammt und somit nicht LTV-fähig ist. Es kann auf dem IPad in Foxit PDF Editor auch soweit ich gesehen habe, kein Zeitserver angegeben werden.
0
Thomtenh12.01.2217:31
Habe es an den Support von Foxit geschickt. Mal sehen, was die dazu sagen.
0
Weia
Weia13.01.2203:41
Thomtenh
Habe es an den Support von Foxit geschickt. Mal sehen, was die dazu sagen.
Das bestätigt das Verhalten der macOS-Version vom Foxit PDF Editor, der den LTV-Status allerdings nirgendwo anzeigt:

Der Foxit PDF Editor (macOS und, wie wir nun wissen, auch iPadOS) erstellt ohne Zeitstempelserver digitale Signaturen, die der Acrobat Reader (auf macOS) als nicht LTV-fähig anzeigt, während er (also der Acrobat Reader) auf ihm selbst ohne Zeitstempel erstellte Signaturen dennoch (nach einem neuen, alternativen Verfahren) als LTV-fähig anzeigt.

Der Foxit PDF Editor müsste also unbedingt einen Zeitstempelserver verwenden, aber genau das kann der Foxit PDF Editor gar nicht. (Die Windows-Version des Foxit PDF Editors kann das.)

Damit schießt sich leider das einzige Programm, das eine Alternative zum Acrobat Reader darstellen könnte, auch ins Off, bis es Zeitstempel implementiert.

Ich habe mir daraufhin nochmals die Testergebnisse aller PDF-Editoren angesehen, denn diese spezielle Problematik hatte ich beim Testen nicht hinreichend vor Augen.

Ergebnis: Keines der anderen Programme kann aus Sicht vom Acrobat Reader LTV-fähige Unterschriften erstellen. Qoppa PDF Studio schießt dabei den Vogel ab, da dieses Programm Zeitstempel nutzen kann, aber selbst mit Zeitstempel erstellte Signaturen werden vom Acrobat Reader nicht als LTV-fähig anerkannt, obwohl der Zeitstempel als solcher sehr wohl erkannt wird .


Wenn es Dir nicht zu viel Mühe ist, hätte ich noch eine Test-Bitte:
Erstelle für ein PDF in Acrobat Reader eine Signatur ohne Zeitstempel (dazu reicht es, wenn Du vorübergehend mit dem Löschen-Button in den Zeitstempelserver-Einstellungen die Markierung des eingetragenen Zeitstempelservers als Standardeinstellung (also das Sternchen) entfernst) und schau Dir diese Signatur dann in der iPad-Version von Foxit PDF Editor an. Wird die Signatur da als LTV-fähig angezeigt oder nicht? (Und vergleiche das mit der Anzeige der LTV-Fähigkeit der Signatur im Acrobat Reader selbst.)

Ich will damit feststellen, ob Foxit PDF Editor und Acrobat Reader die LTV-Fähigkeiten ihrer Signaturen ohne Zeitstempelserver am Ende wechselseitig nicht anerkennen. Das lässt sich nur mit der iPad-Version vom Foxit PDF Editor feststellen, da die macOS-Version die LTV-Fähigkeit ja leider einfach nicht anzeigt.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
Weia
Weia13.01.2203:49
Thomtenh
Auf dem Mac mit Adobe Reader steht, dass sie Zeit von der Uhr des Computers (IPad) stammt und somit nicht LTV-fähig ist. Es kann auf dem IPad in Foxit PDF Editor auch soweit ich gesehen habe, kein Zeitserver angegeben werden.
Zur Erläuterung: Ja, Foxit PDF Editor kann das nicht. Aber Adobe behauptet ja, ein alternatives Verfahren implementiert zu haben, mit dem es die LTV-Fähigkeit von Signaturen auch ohne Zeitstempelserver gewährleisten kann; das scheint aber, wenn überhaupt, nur für im Acrobat Reader selbst erstellte Signaturen zu gelten.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
Thomtenh13.01.2214:03
Weia
Wenn es Dir nicht zu viel Mühe ist, hätte ich noch eine Test-Bitte:
Erstelle für ein PDF in Acrobat Reader eine Signatur ohne Zeitstempel (dazu reicht es, wenn Du vorübergehend mit dem Löschen-Button in den Zeitstempelserver-Einstellungen die Markierung des eingetragenen Zeitstempelservers als Standardeinstellung (also das Sternchen) entfernst) und schau Dir diese Signatur dann in der iPad-Version von Foxit PDF Editor an. Wird die Signatur da als LTV-fähig angezeigt oder nicht? (Und vergleiche das mit der Anzeige der LTV-Fähigkeit der Signatur im Acrobat Reader selbst.)

Ich will damit feststellen, ob Foxit PDF Editor und Acrobat Reader die LTV-Fähigkeiten ihrer Signaturen ohne Zeitstempelserver am Ende wechselseitig nicht anerkennen. Das lässt sich nur mit der iPad-Version vom Foxit PDF Editor feststellen, da die macOS-Version die LTV-Fähigkeit ja leider einfach nicht anzeigt.

Habe eine Testdatei im Adobe Reader ohne Zeitserver auf dem Mac signiert:
"Die Uhrzeit stammt von der Uhr des Signierer."
"Unterschrift ist LTV-fähig"

Auf dem IPad ergibt die Überprüfung der Signatur in Foxit PDF Editor :
"Digitale Signatur ist gültig."
"Die Signatur ist LTV-fähig."
+1
Weia
Weia13.01.2218:49
Thomtenh
Habe eine Testdatei im Adobe Reader ohne Zeitserver auf dem Mac signiert:
[…]
Danke!

Die Situation ist also nicht symmetrisch (also nicht so, dass Acrobat Reader und Foxit PDF Editor Signaturen ohne Zeitstempel wechselseitig nicht als LTV-fähig anerkennen), sondern Acrobat Reader gewährleistet LTV-Fähigkeit vermutlich generell auch ohne Zeitstempel, während Foxit PDF Editor das zwar für sich selbst auch in Anspruch nimmt bzw. so anzeigt, das aber vom Acrobat Reader nicht anerkannt wird.

Diese konfuse Situation bestätigt meine Einschätzung, dass sicherheitshalber stets ein Zeitstempelserver zum Einsatz kommen sollte. Solange die macOS/iPadOS-Version von Foxit PDF Editor das noch nicht kann, fällt also auch die einzig verbliebene Alternative zum Acrobat Reader fort, sofern man nicht generell auf LTV-Fähigkeit verzichten kann (aber wer kann das schon?).

Ich hatte diesen Aspekt bislang nicht gebührend berücksichtigt und werde nun die Tabelle über die Fähigkeiten der verschiedenen PDF-Editoren in PDF-Editoren-Test bezüglich PDF/A und digitalen Signaturen entsprechend aktualisieren.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
langweiler14.01.2220:38
Noch eine kurze Frage, da es nicht explizit zu lesen war:
Wurde denn auf dem iPad das Zertifikat mit dem Acrobat Reader geöffnet, analog zur Anleitung vom Foxit Support?
0
Thomtenh14.01.2223:30
Auf dem IPad kann der Acrobat Reader keine Unterschriften überprüfen. Die Datei wurde auf dem Mac mit dem Acrobat Reader überprüft.
0
mschue
mschue23.01.2222:55
Weia
mschue
Ich müsste das auf meiner "Catalina-Virgin-Partition" mal ausprobieren, ob ich die OpenSC-Installation nochmal reproduzieren kann. Da ist außer Catalina inkl. Security-Updates nichts sonst drauf - das sollte eigentlich ein aussagekräftiger Test sein.
Das wäre spannend.

Ich hatte hier noch "Hausaufgaben" - die sich doch als mittelprächtige Tüftelarbeit herausgestellt haben. Das aber nur, weil es nirgendwo zusammenhängend dokumentiert ist. Letztendlich ist es doch einigermaßen schlicht:

OpenSC 0.22.0 herunterladen und installieren.

Beim Kartenleser ist wichtig, daß es für macOS Treiber gibt. Entweder der macOS-Treiber für "USB CCID-konforme Lesegeräte" wie Apple das nennt, der Bestandteil des Betriebssystem ist, oder ein leserspezifischer PC/SC-Treiber des Leserherstellers.

Wenn der Test lt. "MacOS Quick Start" des OpenSC-Wikis ohne eigene Treiber klappt, dann hat man Glück gehabt - ich musste den Treiber für meinen "Omnikey CardMan 3121" nachinstallieren...

Ist man bis hierher gekommen, dann führt ein erneutes Einstecken der Karte in den Cardreader zu einem interaktiven Verknüpfungsvorgang zwischen einem/dem authentifizierenden Zertifikat auf der SmartCard (soweit vorhanden) und dem macOS-Useraccount.

Lässt sich mit der Bildschirmsperre testen - hier sollte jetzt die Karten-PIN abgefragt werden.

Will man sich jetzt noch mit der Karte anmelden, so muss das dem Betriebssystem gesagt werden: Hierzu gibt es den 'sc_auth'-Befehl, der im Terminalfenster eingegeben werden muß:

sudo sc_auth enable_for_login -c <Class-ID>

Diese "Class-ID" hat mich die meiste Zeit gekostet... man findet sie mit dem Befehl:
pluginkit -m -p com.apple.ctk-tokens

Es geht hier natürlich um die 'Class-ID' des OpenSC-Tokens. Die letztendliche Kommandozeile um den 'Kartenlogin' einzuschalten lautet somit:

sudo sc_auth enable_for_login -c org.opensc-project.mac.opensctoken.OpenSCTokenApp.OpenSCToken

Wenn man sich jetzt abmeldet und zum Anmelden die SmartCard in den Leser steckt, sollte nach kurzer 'Denkpause' der Benutzeraccount automatisch gewählt und die PIN abgefragt werden - Bingo!

So zumindest hat es bei mir unter Catalina wie auch unter Monterey funktioniert.

Eigentlich sollte damit auch die D-Trust Card 4.1 der Bundesdruckerei ausgelesen werden können, aber das habe ich noch nicht verifizieren können. Würde ich aber gerne... Na, schau'n mer mal.

Gruß - Matthias
+1
Weia
Weia23.01.2223:12
mschue
Ich hatte hier noch "Hausaufgaben" - die sich doch als mittelprächtige Tüftelarbeit herausgestellt haben. Das aber nur, weil es nirgendwo zusammenhängend dokumentiert ist. Letztendlich ist es doch einigermaßen schlicht: […]
Herzlichen Dank für Test & Info!
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
+1
Weia
Weia23.01.2223:13
Thomtenh
Habe es an den Support von Foxit geschickt. Mal sehen, was die dazu sagen.
Hat der sich noch geäußert?
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
0
Thomtenh23.01.2223:59
Weia
Hat der sich noch geäußert?
Vom Foxit-Support kam nur:
„Ich habe das Dokument geöffnet und bei der Überprüfung erscheint deine Unterschrift als gültig. Sieht gut für mich aus“
Das Problem mit LTV haben sie nicht verstanden trotz genauer Rückfrage.
+2
mschue
mschue26.01.2223:19
Der Acrobat Reader kann auch auf einen OpenSC-Kartenleser zugreifen. Hierzu muss man dem Reader das PKCS#11-Modul von OpenSC (/Library/OpenSC/lib/opensc-pkcs11.so) bekannt machen.

Dies geschieht im Befehl "Digital Signieren" "Neue digitale ID konfigurieren" "Signaturerstellungsgerät verwenden" "Digitale ID verwalten" "PKCS#11-Module und -Token" "Modul anhängen" "Bibliothekspfad: /Library/OpenSC/lib/opensc-pkcs11.so"

Ja, viel Klickerei, aber man macht es nur einmal.
0
Cracymike
Cracymike11.02.2210:02
Hab gerade die Herausforderung das wir einen Prozess schaffen sollen der digitale Unterschriften bei Verträgen ermöglicht. Hab mich an den Beitrag erinnert und ihn mal gelesen.

Eine Frage bleibt bei mir noch offen. Im Grunde bedeutet es aber auch das ein Vertragspartner der das Dokument gegenzeichnen soll sich ebenfalls ein Zertifikat beschaffen muss? Da ich ja nur meine Unterschrift bestätige.

Wenn ich also viel mit IT unbedarften Unternehmen Zusammenarbeit ich vor dem digitalen Vertrag die Erklärung setzen muss.

Gruß Mike
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.