Anleitung zur Prüfung von qualifizierten elektronischen Signaturen

Anleitung zur Prüfung von qualifizierten elektronischen
Signaturen nach schweizerischem Signaturgesetz
Das schweizerische Signaturgesetz (ZertES) ist die gesetzliche Grundlage für qualifizierte digitale
Signaturen - siehe dazu http://www.admin.ch/ch/d/sr/c943_03.html.
Inhaltsverzeichnis:
1
Vorinformation
2
Voraussetzungen
3
Einstellungen NUR für Benutzer mit Acrobat Reader 6.x
4
Anleitung zur Prüfung qualifizierter elektronischen Signaturen
5
Testen von qualifizierten elektronischen Signaturen
1
Vorinformation
Die PDF-Dokumente des Amtsblattes des Kantons Zürich (KABZH) beinhalten die so genannte
„unsichtbare“ Signatur, welche sich in einem hinterlegten Signaturfeld als Zusatzinformation verbirgt und nicht sofort im PDF-Dokument ersichtlich ist.
Einem digitalen Zertifikat kann nur dann vertraut werden, wenn es von einer vertrauenswürdigen
Stelle ausgestellt wurde. Gemäss Schweizerischem Signaturgesetz werden die von einer
akkreditierten Anerkennungsstelle zertifizierten Dienstanbieter für qualifizierte Signaturen auf der
Internetseite der Schweizerischen Akkreditierungsstelle (SAS) publiziert. Die Liste der zertifizierten Dienstanbieter kann unter folgender Adresse eingesehen werden:
http://www.seco.admin.ch/sas/00229/00251/index.html?lang=de
Einem zertifizierten Dienstanbieter aus der Schweiz kann grundsätzlich vertraut werden. Bei anderen Dienstanbietern ist die jeweilige CP (Certification Policy) des Anbieters zu prüfen, damit
eine Aussage über die Prozesse zur Identifikation einer Person und die Haftung gemacht werden
kann. Im Zertifikat sollte ein Link zur CP des Dienstanbieter stehen.
Das Amtsblatt des Kantons Zürich realisiert die qualifizierte digitale Signatur der täglich anfallenden KABZH-Publikationen in Zusammenarbeit mit dem zertifizierten Schweizer Dienstanbieter
Swisscom (Schweiz) AG. Das entsprechende CP kann unter folgender Adresse eingesehen werden:
http://www.swissdigicert.ch/sdcs/portal/page?node=download_docs
2
Voraussetzungen
Um die Signatur in PDF-Dokumenten vollständig und fehlerfrei zu prüfen, werden folgende Anforderungen an die installierte Software gestellt:
Voraussetzungen für PC’s mit Microsoft Windows:

Aktuelle Version des Adobe® Acrobat Reader® Version 10.1.2 oder Adobe® Acrobat®
Version 9.x (oder höher). Diese Software kann unter http://www.adobe.ch/ kostenlos
bezogen werden.
Achtung:
Benutzer des Adobe Acrobat Reader Version 6.x beachten bitte die
Konfigurationsanleitung unter Kapitel 3
Voraussetzungen für PC’s mit Mac OS X (Apple):

Aktuelle Version des Adobe® Acrobat Reader® Version 9.x oder Adobe® Acrobat® Version 9.x Professional (oder höher). Diese Software kann unter http://www.adobe.ch/
kostenlos bezogen werden:
Hinweis:
Zur Acrobat Reader Version für Mac OS X ist bisher noch kein
signaturspezifisches Plug-in verfügbar. Die Details einer qualifizierten digitalen Signatur sind deshalb auf Apple Rechnern vorerst nur via Acrobat
Reader in allgemeiner Form sichtbar.
3
Einstellungen NUR für Benutzer mit Acrobat Reader 6.x
Falls Sie qualifiziert signierte KABZH-PDF-Dateien mit Acrobat Reader Version 6.x öffnen möchten, müssen Sie zuvor die nachfolgend beschriebene Konfigurationsanpassung vornehmen:
Anpassung der Konfiguration
Reader starten (Doppelklick auf Symbol oder via Menü Start -> Programme <CRTL-K> (oder
Bearbeiten -> Grundeinstellungen…) -> Digitale Unterschriften:
Die Option “Beim Öffnen des Dokuments Unterschriften prüfen” nicht anwählen!
Diese Option nicht
anwählen!
Merke:
Die Deaktivierung dieser Funktionalität muss vor dem Öffnen eines Dokuments erfolgen.
Digitale Signaturen werden anschliessend nicht mehr pro Datei online überprüft.
Ist die Option “Beim Öffnen des Dokuments Unterschriften prüfen” markiert, können qualifiziert
signierte PDF-Dateien mit Acrobat Reader Version 6.x leider nicht fehlerfrei geöffnet werden, da
diese Softwareversion die notwendige Zertifikatskette nicht erfolgreich nachbilden kann.
4
Anleitung zur Prüfung qualifizierter elektronischen Signaturen
Damit die Software die Signaturprüfung durchführen kann, müssen die CA-Zertifikate der
Swisscom auf dem Rechner installiert sein. Dies ist notwendig um die Vertrauenskette eines Zertifikates bis zu seiner Wurzel (root) verifizieren zu können. Es besteht eine einfache Möglichkeit
die Vertrauenskette herzustellen in einem Adobe® Acrobat spezifischen gestützten Prozess.
Die benötigten Zertifikate haben wir für Sie in einer FDF-Datei zusammengestellt. Folgen Sie
hierzu den untenstehenden Schritten. Alternativ können Sie die Zertifikate auch unter
http://www.swissdigicert.ch/download/ -> CA Zertifikate -> Root CA 1 + Root CA 2 einzeln
herunterladen und installieren.
Installation mit FDF-Datei:
1. Laden Sie die Datei SwisscomRootZertifikate2.fdf herunter:
https://www.shab.ch/shabforms/DE/PDF/SHAB/SwisscomRootZertifikate2.zip
2. Öffnen Sie die ZIP-Datei
3. Doppelklick auf die FDF-Datei
4. Fenster öffnet sich
5. Swisscom Root CA 1 anwählen
6. Anschliessend auf „Kontakte zur Liste der vertrauenswürdigen Identitäten hinzufügen“ klicken
7. Folgendes Fenster öffnet sich: „Swisscom Root CA 1“ anwählen
8. Dann „Swisscom Root CA 1“ im unteren Feld wieder auswählen und auf
„Vertrauenswürdigkeit“ klicken:
9. Folgendes Fenster öffnet sich: Bitte wählen Sie beide Kästchen aus und bestätigen Sie
mit OK.
10. Der gleiche Schritt muss nun auch mit „Swisscom Root CA 2“ durchgeführt werden. Wählen Sie „Swisscom Root CA 2“ aus.
11. Im unteren Feld ebenfalls „Swisscom Root CA 2“ auswählen und „Vertrauenswürdigkeit“
anklicken.
12. Auch hier wieder beide Kästchen auswählen. Mit OK bestätigen.
13. Führen Sie die gleichen Schritte auch noch mit „Swisscom TSA CA1“ aus:
14. Nach dem diese Schritte durchgeführt wurden, können Sie nun die Zertifikatsdateien
importieren. Wählen Sie hierzu alle Zertifikate aus, indem sie die Ctrl-Taste gedrückt
halten und die Zertifikate anwählen. Danach klicken Sie auf die Schaltfläche „Importieren“:
15. Anschliessend erscheint folgende Meldung, welche Sie mit OK bestätigen können:
Überprüfung Fingerprint:
Jedes Zertifikat besitzt einen eindeutigen Fingerprint. Dadurch kann festgestellt werden, ob das
Zertifikat korrekt ist und nicht kompromittiert (manipuliert) wurde. Der Fingerprint lässt sich in den
Detailinformationen der Zertifikate überprüfen.
Die beiden Swisscom-Zertifikate besitzen folgende eindeutigen Fingerprints:
Swisscom Root CA1: 5f 3a fc 0a 8b 64 f6 86 67 34 74 df 7e a9 a2 fe f9 fa 7a 51
Swisscom Root CA2: 77 47 4f c6 30 e4 0f 4c 47 64 3f 84 ba b8 c6 95 4a 8a 41 ec
5
Testen von qualifizierten elektronischen Signaturen
1. Öffnen Sie nun die PDF-Datei, bei welcher Sie die Signatur kontrollieren möchten.
2. Im geöffneten PDF-Dokument finden Sie die Signaturinformationen unter den speziellen
seitlichen Reiter “Unterschriften”.
3. Wird der Reiter angeklickt, erhalten Sie untenstehendes Bild. Ein grünes Häkchen-Symbol weist auf eine gültige Überprüfung hin. Bei einem Ausrufezeichen überprüfen Sie
bitte nochmals die Einstellungen gemäss Kapitel 4.0.
Merke:
Wird vor dem Text „Unterschrieben von“ ein grünes Häkchen-Symbol angezeigt, ist die Signatur
gültig. Die Integrität einer signierten Datei kann also durch die Signaturprüfung bewiesen werden.
Es wird damit sichergestellt, dass die Daten seit dem Signaturzeitpunkt nachweislich nicht verändert wurden.
Zur vollständigen Überprüfung des Zertifikats benötigt der Acrobat Reader alle Zertifikate der
Ausstellungskette – um die angestrebte Vertraulichkeit verbindlich aufzubauen.