Open Source im professionellen Einsatz
Linux-Magazin Online Artikel/
Reinhard Eisele

Reinhard Eisele

Digitale Signaturen mit Open Office

Brief mit Siegel

05.12.2008

Textverarbeitungsdateien, Tabellenblätter, Präsentationen und Zeichnungen: Liegen sie im Open-Document-Format vor, lassen sie sich mit Open Office digital signieren.

685

Das freie Büropaket Open Office kann bereits seit Version 2.0 Dokumente im Open-Document-Format (ODF) digital signieren, auch die jüngsten 3.0-Ausgaben besitzen diese Funktion. Allerdings produziert das Programm keine qualifizierte Signatur gemäß dem deutschen Signaturgesetz.

Das Signieren bezweckt zweierlei: Erstens ist feststellbar, ob ein Dokument nach dem Versehen mit Signatur noch verändert wurde - die Integrität der Datei wird sichergestellt. Zum zweiten kann das Zertifikat belegen, dass ein Dokument von einer bestimmten Person oder Organisation digital unterschrieben wurde. Das geschieht, indem die ausstellende Instanz (Certificate Autority, CA) durch ihre eigene Signatur die Verbindung zwischen Zertifikat und Person garantiert. Weitere Informationen zu Zertifikaten sowie eine Anleitung zum Betrieb einer eigenen Zertifizierungsstelle mit freier Software gibt der Artikel Artikel "Schlüsseldienst: Eigene Zertifikatsstelle mit TinyCA".

Ein Zuhause fürs Zertifikat

Neben OpenOffice.org ab Version 2.0 ist zum Signieren ein Zertifikat sowie ein Speicherort dafür, der so genannte Zertifikatsspeicher, erforderlich. Unter Linux wird hierzu auf die gängigen Mozilla-Produkte zurückgegriffen: Thunderbird, Mozilla/SeaMonkey und Firefox, und zwar in genau dieser Reihenfolge. Es wird allerdings nur das erste Programm benutzt, in dem eigene Zertifikate in einem Profil gefunden werden. Existiert die Umgebungsvariable "MOZILLA_CERTIFICATE_FOLDER" und verweist diese auf einen Profilpfad eines Mozilla-Produkts, so hat der Zertifikatsspeicher dieses Profils Vorrang:

export MOZILLA_CERTIFICATE_FOLDER=~./mozilla/firefox/c7a1ijsv.default

Im Zweifelsfall gibt es im OpenOffice.org-Wiki ein kleines Makro, das den vom Programm tatsächlich benutzten Zertifikatsspeicher anzeigt. Unter Windows greift OpenOffice.org übrigens auf die Crypto-API des Betriebssystems zurück. Zertifikate in Mozilla-Produkten werden hier nicht berücksichtigt, stattdessen kommt der Zertifikatsspeicher des Internet Explorer zum Einsatz. Die Bedienung innerhalb von OpenOffice.org ist jedoch analog zur Linux-Variante.

Die Einbindung der Zertifikate in den Zertifikatsspeicher hängt sowohl von der CA als auch vom eingesetzten Mozilla-Produkt ab, sodass die jeweilige Dokumentation hierzu konsultiert werden sollte. Vorher bietet es sich jedoch an, ein Master-Passwort zu setzen, mit dem der Speicher vor unbefugter Benutzung geschützt wird. In Thunderbird geht dies mittels "Extras | Einstellungen... | Datenschutz | Passwörter | Master-Passwort festlegen...". Nach Setzen des Master-Passworts und erfolgreichem Import der eigenen Zertifikate erscheinen diese dann beispielsweise unter "Extras | Einstellungen... | Erweitert | Zertifikate | Zertifikate... | Ihre Zertifikate" (siehe Abbildung 1).

Abbildung 1: Ein persönliches Zertifikat im Zertifikatsspeicher von Thunderbird.

Signieren von Dokumenten

Ist das Zertifikat korrekt installiert, so kann das erste Dokument unter OpenOffice.org digital signiert werden. Benötigt wird eine Datei im Open-Document-Format, sei es ein Textdokument, eine Tabelle, Zeichnung oder Präsentation. Ein neues Dokument muss zunächst abgespeichert werden, bevor es signiert werden kann. Über den Menüpunkt "Datei | Digitale Signaturen..." gelangt man zu einer anfänglich leeren Dialogbox, die die im Dokument enthaltenen Signaturen anzeigt (Abbildung 2).

Abbildung 2: Eine Auflistung aller Signaturen, die das geöffnete Dokument enthält.

Über die Schaltfläche "Hinzufügen..." lässt sich das Dokument digital signieren. Eine Dialogbox fordert zunächst zur Eingabe des weiter oben vergebenen Master-Passworts auf (Abbildung 3).

Abbildung 3: Der Zugriff auf den Zertifikatsspeicher ist nur mit dem Master-Passwort möglich.

Wurde das Passwort richtig eingegeben, so präsentiert OpenOffice.org eine Liste mit persönlichen Zertifikaten, mittels derer das Dokument signiert werden kann (Abbildung 4).

Abbildung 4: Zum Signieren muss ein Zertifikat ausgewählt werden.

Die Schaltfläche "Zertifikat anzeigen..." öffnet ein Fenster mit Details (Abbildung 5) des ausgewählten Zertifikats. Dies ist insbesondere dann praktisch, wenn mehrere Zertifikate unter gleichem Namen, aber mit unterschiedlichen E-Mail-Adressen existieren.

Abbildung 5: In diesem Fenster werden Details zum jeweiligen Zertifikat angezeigt.

Um das Dokument nun zu unterschreiben, muss das korrekte Zertifikat in der Übersicht ausgewählt und mit "OK" bestätigt werden. Es erscheint dann in der Liste der Unterzeichner, die zu Anfang noch leer war (Abbildung 6).

Abbildung 6: Unterzeichner und CA werden in der Übersicht angezeigt.

Auch hier gilt: Der Hinweis, das Zertifikat könne nicht verifiziert werden, bezieht sich darauf, dass die CA nicht bekannt ist. In Abbildung 7 zum Vergleich die Dialogbox, wenn auch die CA bekannt ist, wie dies beispielsweise bei Thawte und anderen kommerziellen CAs der Fall ist.

Abbildung 7: Ist die CA bekannt, entfällt der Warnhinweis.

Abbildung 8: Symbolleiste bei gültigem Zertifikat, aber unbekannter CA.
Abbildung 9: Warnung beim Öffnen eines Dokuments, das nach dem Signieren modifiziert wurde.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Signieren von PDF-Dokumenten mit Portablesigner

    Es gibt zahlreiche Programme um PDF-Dokumente digital zu signieren. Neben teuren kommerziellen Tools oder kryptischer Software für die Kommandozeile existiert mit dem GUI-Programm Portablesigner eine Open-Source-Lösung, die leicht zu bedienen ist.

  • Cebit 2012: Cacert stellt Zertifikate aus

    Die freie Zertifizierungsorganisation Cacert stellt während der Cebit kostenlose digitale Zertifikate aus. Am Freitag, 9. März halten Projektmitglieder zudem Vorträge.

  • Jäger und Sammler

    Punkte sammeln Cacert-Mitglieder, um in den Genuss bestätigter Zertifikate zu kommen. Damit ließen sich Server per SSL/TLS prima absichern, wäre nur das Rootzertifikat den Browsern bekannt. Doch statt sich mit Nachdruck darum zu kümmern, jagt mancher im Projekt vornehmlich seinen Punkten nach.

  • Java

    Die Vorbeugung gegen Datendiebstahl und illegale Zugriffe spielt bei der Anwendungsentwicklung eine immer größere Rolle. Der Java-Programmierer findet in der Java-SE-Security-Bibliothek, was er braucht, um Daten zu ver- und entschlüsseln sowie Prüfsummen und Signaturen einzusetzen.

  • Kern-Technik

    Viele Linuxer wissen nicht um die Gefährlichkeit von Kernelmodulen, deren Herkunft und Integrität nicht 100-prozentig gesichert ist. Noch weniger bekannt ist, dass sich eigene Systeme mit signierten Kernelmodulen gegen Codemanipulationen schützen lassen – vorausgesetzt man macht es richtig.

comments powered by Disqus

Ausgabe 08/2016

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.