Digitale Signaturen mit Open Office

Das freie Büropaket Open Office kann bereits seit Version 2.0 Dokumente im Open-Document-Format (ODF) digital signieren, auch die jüngsten 3.0-Ausgaben besitzen diese Funktion. Allerdings produziert das Programm keine qualifizierte Signatur gemäß dem deutschen Signaturgesetz.

Das Signieren bezweckt zweierlei: Erstens ist feststellbar, ob ein Dokument nach dem Versehen mit Signatur noch verändert wurde - die Integrität der Datei wird sichergestellt. Zum zweiten kann das Zertifikat belegen, dass ein Dokument von einer bestimmten Person oder Organisation digital unterschrieben wurde. Das geschieht, indem die ausstellende Instanz (Certificate Autority, CA) durch ihre eigene Signatur die Verbindung zwischen Zertifikat und Person garantiert. Weitere Informationen zu Zertifikaten sowie eine Anleitung zum Betrieb einer eigenen Zertifizierungsstelle mit freier Software gibt der Artikel Artikel "Schlüsseldienst: Eigene Zertifikatsstelle mit TinyCA".

Ein Zuhause fürs Zertifikat

Neben OpenOffice.org ab Version 2.0 ist zum Signieren ein Zertifikat sowie ein Speicherort dafür, der so genannte Zertifikatsspeicher, erforderlich. Unter Linux wird hierzu auf die gängigen Mozilla-Produkte zurückgegriffen: Thunderbird, Mozilla/SeaMonkey und Firefox, und zwar in genau dieser Reihenfolge. Es wird allerdings nur das erste Programm benutzt, in dem eigene Zertifikate in einem Profil gefunden werden. Existiert die Umgebungsvariable "MOZILLA_CERTIFICATE_FOLDER" und verweist diese auf einen Profilpfad eines Mozilla-Produkts, so hat der Zertifikatsspeicher dieses Profils Vorrang:

export MOZILLA_CERTIFICATE_FOLDER=~./mozilla/firefox/c7a1ijsv.default

Im Zweifelsfall gibt es im OpenOffice.org-Wiki ein kleines Makro, das den vom Programm tatsächlich benutzten Zertifikatsspeicher anzeigt. Unter Windows greift OpenOffice.org übrigens auf die Crypto-API des Betriebssystems zurück. Zertifikate in Mozilla-Produkten werden hier nicht berücksichtigt, stattdessen kommt der Zertifikatsspeicher des Internet Explorer zum Einsatz. Die Bedienung innerhalb von OpenOffice.org ist jedoch analog zur Linux-Variante.

Die Einbindung der Zertifikate in den Zertifikatsspeicher hängt sowohl von der CA als auch vom eingesetzten Mozilla-Produkt ab, sodass die jeweilige Dokumentation hierzu konsultiert werden sollte. Vorher bietet es sich jedoch an, ein Master-Passwort zu setzen, mit dem der Speicher vor unbefugter Benutzung geschützt wird. In Thunderbird geht dies mittels "Extras | Einstellungen... | Datenschutz | Passwörter | Master-Passwort festlegen...". Nach Setzen des Master-Passworts und erfolgreichem Import der eigenen Zertifikate erscheinen diese dann beispielsweise unter "Extras | Einstellungen... | Erweitert | Zertifikate | Zertifikate... | Ihre Zertifikate" (siehe Abbildung 1).

Abbildung 1: Ein persönliches Zertifikat im Zertifikatsspeicher von Thunderbird.

Signieren von Dokumenten

Ist das Zertifikat korrekt installiert, so kann das erste Dokument unter OpenOffice.org digital signiert werden. Benötigt wird eine Datei im Open-Document-Format, sei es ein Textdokument, eine Tabelle, Zeichnung oder Präsentation. Ein neues Dokument muss zunächst abgespeichert werden, bevor es signiert werden kann. Über den Menüpunkt "Datei | Digitale Signaturen..." gelangt man zu einer anfänglich leeren Dialogbox, die die im Dokument enthaltenen Signaturen anzeigt (Abbildung 2).

Abbildung 2: Eine Auflistung aller Signaturen, die das geöffnete Dokument enthält.

Über die Schaltfläche "Hinzufügen..." lässt sich das Dokument digital signieren. Eine Dialogbox fordert zunächst zur Eingabe des weiter oben vergebenen Master-Passworts auf (Abbildung 3).

Abbildung 3: Der Zugriff auf den Zertifikatsspeicher ist nur mit dem Master-Passwort möglich.

Wurde das Passwort richtig eingegeben, so präsentiert OpenOffice.org eine Liste mit persönlichen Zertifikaten, mittels derer das Dokument signiert werden kann (Abbildung 4).

Abbildung 4: Zum Signieren muss ein Zertifikat ausgewählt werden.

Die Schaltfläche "Zertifikat anzeigen..." öffnet ein Fenster mit Details (Abbildung 5) des ausgewählten Zertifikats. Dies ist insbesondere dann praktisch, wenn mehrere Zertifikate unter gleichem Namen, aber mit unterschiedlichen E-Mail-Adressen existieren.

Abbildung 5: In diesem Fenster werden Details zum jeweiligen Zertifikat angezeigt.

Um das Dokument nun zu unterschreiben, muss das korrekte Zertifikat in der Übersicht ausgewählt und mit "OK" bestätigt werden. Es erscheint dann in der Liste der Unterzeichner, die zu Anfang noch leer war (Abbildung 6).

Abbildung 6: Unterzeichner und CA werden in der Übersicht angezeigt.

Auch hier gilt: Der Hinweis, das Zertifikat könne nicht verifiziert werden, bezieht sich darauf, dass die CA nicht bekannt ist. In Abbildung 7 zum Vergleich die Dialogbox, wenn auch die CA bekannt ist, wie dies beispielsweise bei Thawte und anderen kommerziellen CAs der Fall ist.

Abbildung 7: Ist die CA bekannt, entfällt der Warnhinweis.