(C) ahermes, photocase.com

Neben der originalgetreuen Darstellung von Dokumenten bietet das PDF-Format eine Vielzahl weiterer Funktionen. Weniger bekannt ist jedoch die Möglichkeit, Dokumente digital zu signieren. Während lange Zeit nur teure Programme die entsprechende Funktionalität boten, gibt es mittlerweile auch freie Software für diesen Einsatzzweck. Als einen Vertreter dieser Gattung stellt dieser Artikel den Java-basierten und somit plattformunabhängigen Portablesigner vor. Allerdings produziert er keine keine qualifizierte Signatur gemäß dem deutschen Signaturgesetz.

Einführung und Installation

Entstanden ist das Open-Source-Tool Portablesigner im Rahmen der Linux-Migration der Stadt Wien. Die gängigen Linux-Distributionen bieten zwar keine Pakete des Programms in ihren Repositories an, doch auf der Downloadseite des Programms findet sich ein Archiv mit leicht zu installierenden Jar-Dateien. Es trägt den Namen "PortableSigner-1.5.90-Generic.zip".

Neben dem entpackten Inhalt des Archivs ist noch ein Java Runtime Environment (JRE) ab Version 1.5 erforderlich. Unter Linux gibt es hierbei verschiedene Varianten -- eine gute Wahl ist das Originalpaket von Sun, das etwa unter Ubuntu als Paket "sun-java6-jre" zur Verfügung steht.

Zusätzlich sind die Unlimited Strength Java Cryptography Extension Policy Files zu installieren, die das JRE um starke Verschlüsselungsalgorithmen erweitern. Nach dem Entpacken der Policy Files "local_policy.jar" und "US_export_policy.jar" muss Root sie in die richtigen Verzeichnisse der Java-Installation kopieren, beispielsweise nach "/usr/lib/jvm/java-6-sun/jre/lib/security/", wobei sich ein Backup der dort befindlichen Originaldateien empfiehlt.

Portablesigner lässt sich nun mit dem Kommando "java -jar PortableSigner.jar" starten und zeigt nach kurzer Wartezeit die Programmoberfläche an (Abbildung 1).

Abbildung 1: Die Oberfläche von Portablesigner nach dem ersten Programmstart.

Grundsätzliches zu Zertifikaten

Um ein PDF zu signieren, wird neben dem Originaldokument auch ein Zertifikat wie bei einem SSL-Webserver benötigt. Das Zertifikat ist stark vereinfacht gesagt wie eine Art Ausweis: Es enthält Informationen über den Inhaber -- Name, E-Mail-Adresse, ggf. Firma und Anschrift -- sowie eine Stelle, die diese Angaben beglaubigt. Mittels dieses Zertifikats können Dokumente digital unterschrieben werden.

Wie bei einem Ausweis auch kommt es beim Zertifikat auf die Glaubwürdigkeit dieser beglaubigenden Stelle (Certificate Authority, kurz CA) an. Auch PDF-Reader haben kennen einen Pool an vertrauenswürdiger CAs. Ist ein Dokument mit einem Zertifikat unterschrieben, das von einer vertrauenswürdigen Stelle beglaubigt wurde, ist sichergestellt, Dokument auch tatsächlich von der genannten Person oder Organisation stammt.

Neben dieser Sicherstellung der Authentizität können Signaturen zusätzlich die Integrität eines Dokuments bescheinigen: Sie belegen, dass das Dokument nach der Signierung nicht mehr verändert wurde.

Die meisten CAs lassen sich den Aufwand zur Identitätsfeststellung teuer bezahlen. Eine kostenfreie Alternative besteht in der freien Zertifizierungsstelle CAcert. Auch Thawte und StartSSL bieten kostenfreie Zertifikate zur privaten Nutzung an.

Zu guter Letzt besteht die Möglichkeit, die Zertifikate auch selbst zu beglaubigen. Eine Anleitung, wie sich Zertifikate für die interne Verwendung, beispielsweise in der Firma, mit freier Software selbst erstellen lassen gibt der Artikel "Schlüsseldienst: Eigene Zertifikatsstelle mit TinyCA".

Das Signieren mit solchen selbst erstellten Zertifikaten belegt die Integrität eines Dokuments, nicht aber, dass es von einer bestimmten Person oder Organisation kommt. Eines ist all diesen Lösungen gemein: Diese Zertifizierungsstellen sind in der Regel nicht in PDF-Readern hinterlegt, sodass beim Öffnen eines signierten Dokuments ein Warnhinweis erscheint.