Anleitung zur Prüfung von qualifizierten elektronischen Signaturen
Transcrição
Anleitung zur Prüfung von qualifizierten elektronischen Signaturen
Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz Das schweizerische Signaturgesetz (ZertES) ist die gesetzliche Grundlage für qualifizierte digitale Signaturen - siehe dazu http://www.admin.ch/ch/d/sr/c943_03.html. Inhaltsverzeichnis: 1 Vorinformation 2 Voraussetzungen 3 Einstellungen NUR für Benutzer mit Acrobat Reader 6.x 4 Anleitung zur Prüfung qualifizierter elektronischen Signaturen 5 Testen von qualifizierten elektronischen Signaturen 1 Vorinformation Die PDF-Dokumente des Amtsblattes des Kantons Zürich (KABZH) beinhalten die so genannte „unsichtbare“ Signatur, welche sich in einem hinterlegten Signaturfeld als Zusatzinformation verbirgt und nicht sofort im PDF-Dokument ersichtlich ist. Einem digitalen Zertifikat kann nur dann vertraut werden, wenn es von einer vertrauenswürdigen Stelle ausgestellt wurde. Gemäss Schweizerischem Signaturgesetz werden die von einer akkreditierten Anerkennungsstelle zertifizierten Dienstanbieter für qualifizierte Signaturen auf der Internetseite der Schweizerischen Akkreditierungsstelle (SAS) publiziert. Die Liste der zertifizierten Dienstanbieter kann unter folgender Adresse eingesehen werden: http://www.seco.admin.ch/sas/00229/00251/index.html?lang=de Einem zertifizierten Dienstanbieter aus der Schweiz kann grundsätzlich vertraut werden. Bei anderen Dienstanbietern ist die jeweilige CP (Certification Policy) des Anbieters zu prüfen, damit eine Aussage über die Prozesse zur Identifikation einer Person und die Haftung gemacht werden kann. Im Zertifikat sollte ein Link zur CP des Dienstanbieter stehen. Das Amtsblatt des Kantons Zürich realisiert die qualifizierte digitale Signatur der täglich anfallenden KABZH-Publikationen in Zusammenarbeit mit dem zertifizierten Schweizer Dienstanbieter Swisscom (Schweiz) AG. Das entsprechende CP kann unter folgender Adresse eingesehen werden: http://www.swissdigicert.ch/sdcs/portal/page?node=download_docs 2 Voraussetzungen Um die Signatur in PDF-Dokumenten vollständig und fehlerfrei zu prüfen, werden folgende Anforderungen an die installierte Software gestellt: Voraussetzungen für PC’s mit Microsoft Windows: Aktuelle Version des Adobe® Acrobat Reader® Version 10.1.2 oder Adobe® Acrobat® Version 9.x (oder höher). Diese Software kann unter http://www.adobe.ch/ kostenlos bezogen werden. Achtung: Benutzer des Adobe Acrobat Reader Version 6.x beachten bitte die Konfigurationsanleitung unter Kapitel 3 Voraussetzungen für PC’s mit Mac OS X (Apple): Aktuelle Version des Adobe® Acrobat Reader® Version 9.x oder Adobe® Acrobat® Version 9.x Professional (oder höher). Diese Software kann unter http://www.adobe.ch/ kostenlos bezogen werden: Hinweis: Zur Acrobat Reader Version für Mac OS X ist bisher noch kein signaturspezifisches Plug-in verfügbar. Die Details einer qualifizierten digitalen Signatur sind deshalb auf Apple Rechnern vorerst nur via Acrobat Reader in allgemeiner Form sichtbar. 3 Einstellungen NUR für Benutzer mit Acrobat Reader 6.x Falls Sie qualifiziert signierte KABZH-PDF-Dateien mit Acrobat Reader Version 6.x öffnen möchten, müssen Sie zuvor die nachfolgend beschriebene Konfigurationsanpassung vornehmen: Anpassung der Konfiguration Reader starten (Doppelklick auf Symbol oder via Menü Start -> Programme <CRTL-K> (oder Bearbeiten -> Grundeinstellungen…) -> Digitale Unterschriften: Die Option “Beim Öffnen des Dokuments Unterschriften prüfen” nicht anwählen! Diese Option nicht anwählen! Merke: Die Deaktivierung dieser Funktionalität muss vor dem Öffnen eines Dokuments erfolgen. Digitale Signaturen werden anschliessend nicht mehr pro Datei online überprüft. Ist die Option “Beim Öffnen des Dokuments Unterschriften prüfen” markiert, können qualifiziert signierte PDF-Dateien mit Acrobat Reader Version 6.x leider nicht fehlerfrei geöffnet werden, da diese Softwareversion die notwendige Zertifikatskette nicht erfolgreich nachbilden kann. 4 Anleitung zur Prüfung qualifizierter elektronischen Signaturen Damit die Software die Signaturprüfung durchführen kann, müssen die CA-Zertifikate der Swisscom auf dem Rechner installiert sein. Dies ist notwendig um die Vertrauenskette eines Zertifikates bis zu seiner Wurzel (root) verifizieren zu können. Es besteht eine einfache Möglichkeit die Vertrauenskette herzustellen in einem Adobe® Acrobat spezifischen gestützten Prozess. Die benötigten Zertifikate haben wir für Sie in einer FDF-Datei zusammengestellt. Folgen Sie hierzu den untenstehenden Schritten. Alternativ können Sie die Zertifikate auch unter http://www.swissdigicert.ch/download/ -> CA Zertifikate -> Root CA 1 + Root CA 2 einzeln herunterladen und installieren. Installation mit FDF-Datei: 1. Laden Sie die Datei SwisscomRootZertifikate2.fdf herunter: https://www.shab.ch/shabforms/DE/PDF/SHAB/SwisscomRootZertifikate2.zip 2. Öffnen Sie die ZIP-Datei 3. Doppelklick auf die FDF-Datei 4. Fenster öffnet sich 5. Swisscom Root CA 1 anwählen 6. Anschliessend auf „Kontakte zur Liste der vertrauenswürdigen Identitäten hinzufügen“ klicken 7. Folgendes Fenster öffnet sich: „Swisscom Root CA 1“ anwählen 8. Dann „Swisscom Root CA 1“ im unteren Feld wieder auswählen und auf „Vertrauenswürdigkeit“ klicken: 9. Folgendes Fenster öffnet sich: Bitte wählen Sie beide Kästchen aus und bestätigen Sie mit OK. 10. Der gleiche Schritt muss nun auch mit „Swisscom Root CA 2“ durchgeführt werden. Wählen Sie „Swisscom Root CA 2“ aus. 11. Im unteren Feld ebenfalls „Swisscom Root CA 2“ auswählen und „Vertrauenswürdigkeit“ anklicken. 12. Auch hier wieder beide Kästchen auswählen. Mit OK bestätigen. 13. Führen Sie die gleichen Schritte auch noch mit „Swisscom TSA CA1“ aus: 14. Nach dem diese Schritte durchgeführt wurden, können Sie nun die Zertifikatsdateien importieren. Wählen Sie hierzu alle Zertifikate aus, indem sie die Ctrl-Taste gedrückt halten und die Zertifikate anwählen. Danach klicken Sie auf die Schaltfläche „Importieren“: 15. Anschliessend erscheint folgende Meldung, welche Sie mit OK bestätigen können: Überprüfung Fingerprint: Jedes Zertifikat besitzt einen eindeutigen Fingerprint. Dadurch kann festgestellt werden, ob das Zertifikat korrekt ist und nicht kompromittiert (manipuliert) wurde. Der Fingerprint lässt sich in den Detailinformationen der Zertifikate überprüfen. Die beiden Swisscom-Zertifikate besitzen folgende eindeutigen Fingerprints: Swisscom Root CA1: 5f 3a fc 0a 8b 64 f6 86 67 34 74 df 7e a9 a2 fe f9 fa 7a 51 Swisscom Root CA2: 77 47 4f c6 30 e4 0f 4c 47 64 3f 84 ba b8 c6 95 4a 8a 41 ec 5 Testen von qualifizierten elektronischen Signaturen 1. Öffnen Sie nun die PDF-Datei, bei welcher Sie die Signatur kontrollieren möchten. 2. Im geöffneten PDF-Dokument finden Sie die Signaturinformationen unter den speziellen seitlichen Reiter “Unterschriften”. 3. Wird der Reiter angeklickt, erhalten Sie untenstehendes Bild. Ein grünes Häkchen-Symbol weist auf eine gültige Überprüfung hin. Bei einem Ausrufezeichen überprüfen Sie bitte nochmals die Einstellungen gemäss Kapitel 4.0. Merke: Wird vor dem Text „Unterschrieben von“ ein grünes Häkchen-Symbol angezeigt, ist die Signatur gültig. Die Integrität einer signierten Datei kann also durch die Signaturprüfung bewiesen werden. Es wird damit sichergestellt, dass die Daten seit dem Signaturzeitpunkt nachweislich nicht verändert wurden. Zur vollständigen Überprüfung des Zertifikats benötigt der Acrobat Reader alle Zertifikate der Ausstellungskette – um die angestrebte Vertraulichkeit verbindlich aufzubauen.