Benötigen Sie eine Lösung zur Überprüfung abgelaufener digitaler Signaturen

5325
PSkocik

Ich benutze digitale Signaturen zum Signieren meiner Rechnungen (gesetzlich vorgeschrieben für die digitale Rechnungsstellung in meinem Land). Das Problem ist, dass meine lokale Behörde Signaturzertifikate ausstellt, die nur für ein Jahr gültig sind (so ziemlich jede Zertifizierungsstelle tut dies).

Dies bedeutet für mich jedes Jahr eine Reihe von PDF-Dateien, für die der Acrobat Reader angibt, dass die Signatur nicht überprüft werden kann, da das Zertifikat abgelaufen oder widerrufen wurde. (Ich verwende die 9. Version für 64-Bit-Linux, aber die X-Version für Windows macht dasselbe).

Gibt es ein Programm, das mir mitteilen kann, ob eine solche nicht überprüfbare Signatur für ein öffentliches Zertifikat gültig war und wann?

(Wenn nicht, wäre es technisch möglich, es zusammenzusetzen?)

Danke, Peter

5

2 Antworten auf die Frage

7
AeroKnight

@ThorX89 - you need to timestamp your signatures. This will solve your problem.

Basically you use a valid (at the time) certificate to sign the PDF, this is timestamped by a third party CA (most Certificate Authorities allow you use of their timestamp servers - check with your provider) and the time stamp itself is verified by a certificate issued by the CA.

In Adobe Acrobat (or Reader) Edit > Preferences > Security > Check Require Certificate revocation Checking to succeed whenever possible during signature verification - then in the box below chose the Secure Time (timestamping) option.

As long as your certificate is valid at the time of signing and the timestamp server is set correctly in Adobe, even if your certificate later expires or is revoked, Adobe checks to see if your certificate was valid at the secure time (i.e. timestamp) of the certificate as certified by a third party trust provider.

To set the time server in Adobe go to Advanced Menu > Security Settings and then on the left you will see time Stamp servers. Enter the New time stamp server and adobe will download a certificate from their server and that will be used to verify the time stamp.

Keep in mind, your Certificate issuer AND the timestamp server's CA both (in case they are different issuers) have to be on the Abode Approved Trust List (AATL) for their to be absolutely no signature verification errors presented to a viewer of the file when they open it in Adobe Acrobat 9.0 or newer. If the issuers are not on the list, they will be presented with 'cannot verify signature' even if it was timestamped. The only solution to this is that (yours and the timeserver's) certificates have to be trusted by the viewer in their Adobe software. Going for a AATL listed provider gets around this problem (for Adobe products).

Vielen Dank, AeroKnight. Ich kenne Zeitstempel. Ich suchte mehr nach etwas, das in Bezug auf ein bestimmtes Datum ein signiertes Dokument ohne Zeitstempel überprüfen konnte. Danke trotzdem. Hoffentlich finden es andere Leute nützlich. PSkocik vor 11 Jahren 0
@AeroKnight Das hat mein Problem gelöst. Danke vielmals bilal fazlani vor 9 Jahren 0
1
Horn OK Please

Sie sollten damit umgehen, indem Sie Ihr Zertifikat rechtzeitig vor dem Ablaufdatum erneuern, sodass die Kunden genügend Zeit haben, das Dokument mit einem noch gültigen Zertifikat anzuzeigen.

Der Versuch, ein abgelaufenes Zertifikat mit einem "vorher gültigen" Zertifikat abzugleichen, ist Unsinn. In jedem Fall ist ein abgelaufenes Zertifikat als Sicherheitsfunktion wertlos - es ist nicht besser als ein selbstsigniertes Zertifikat zu erstellen.

Bei der Signaturüberprüfung und der Vertrauenskette geht es vor allem darum, dass alle Parameter des Zertifikats korrekt sein müssen, damit das Programm es als gültig und authentisch erkennt. Es ist genauso einfach, ein authentisch aussehendes, abgelaufenes Zertifikat zu fälschen, wie ein totales Nonsense-Zertifikat, das von einer nicht vertrauenswürdigen CA-Kette signiert wurde.

Es klingt so, als würden Sie versuchen, den Benutzern (oder sich selbst) zu versichern, dass ein digitales Zertifikat, das abgelaufen ist, wirklich Ihnen gehört, auch wenn es abgelaufen ist.

Tu das nicht

Wenn Sie das digitale Zertifikat als Werkzeug für Sicherheit / Integrität / Authentizität / Datenschutz verwenden, ist alles andere als ein gültiges, gültiges, vertrauenswürdiges Zertifikat für alle genannten Funktionen wertlos. Die Ergebnisse solcher Vergleiche könnten für die forensische Analyse oder andere Bereiche interessant sein. Wenn Sie und Ihre Kunden jedoch "Endbenutzer" des Zertifikats sind und dieses Zertifikat für den Schutz verwenden, das es bietet, müssen Sie (und Ihre Kunden) alle behandeln Ungültige Zertifikatswarnungen, wenn jemand versucht, Ihnen ein gefälschtes Dokument zu geben.

Es ist kein Unsinn. Es gibt legitime Gründe, warum Menschen ein solches Tool verwenden müssen (falls es nicht bereits existiert, worum ich mich gebeten habe), und diese Fälle berücksichtigen die Sicherheit. Tatsächlich habe ich bereits eine kommerzielle Lösung gefunden, die prüft, ob eine Signatur zum Zeitpunkt der Unterzeichnung gültig war und ob ein zertifizierter Zeitstempel vorliegt. Es kostet viel Geld und ich brauche den Zeitstempel nicht wirklich. Alles, was ich brauche, ist ein Tool, das mir sagt, ob die Datei jemals gültig war und wann. Andererseits frage ich mich, wie sie mit CRLs umgehen ... PSkocik vor 11 Jahren 0

Verwandte Probleme