PDF-Zertifikatsicherheit

PDF-Zertifikatsicherheit

Vorteile von Zertifikatsicherheit in Acrobat

Mit Kennwortschutz versehene PDF-Dokumente können geöffnet werden, wenn Benutzer- oder Master-Kennwort bekannt sind. Der Nachteil dabei ist, dass die Verteilung von Kennwörtern problematisch werden kann, da stets ein vertraulicher Kanal erforderlich ist. Ebenso kann es passieren, dass berechtigte Dokumentempfänger Kennwörter absichtlich oder unabsichtlich mit anderen teilen.


Zertifikatsicherheit ist eine geeignete Alternative zur kennwortbasierten Sicherung. Sie basiert auf der Public-Key-Kryptografie sowie auf Zertifikaten. Ein Dokument wird für eine Reihe von Empfängern verschlüsselt, die jeweils durch ihr Zertifikat identifiziert werden. Da Zertifikate nur den öffentlichen Schlüssel (Public Key), aber keine vertraulichen Informationen enthalten, bedürfen sie auch bei der Verteilung keiner besonderen Sicherheit. Um ein so geschütztes Dokument zu öffnen, benötigt ein Empfänger die digitale ID mit dem privaten Schlüssel, der zum Zertifikat passt, welches zur Verschlüsselung verwendet wurde.

Zertifikatsicherheit bietet gegenüber Kennwortschutz folgende Vorteile:

  • Es müssen keine Kennwörter an die Empfänger verteilt werden.
  • Für jeden Empfänger oder Gruppe von Empfängern können individuelle Berechtigungen festgelegt werden. Berechtigungen sind nützlich, um Dokumente an Benutzer mit unterschiedlichen Benutzerrechten zu verteilen.
  • Benutzer können Dokumentkennwörter nicht an unbefugte Dritte weitergeben. Software-basierte digitale IDs lassen sich zwar kopieren und weiterverteilen. Der in der ID enthaltene Name verrät jedoch den ursprünglichen Benutzer. Außerdem könnte die ID zum Fälschen seiner Signatur missbraucht werden. Schließlich können hardwarebasierte digitale IDs nicht kopiert werden.

Zertifikatsicherheit wird ab Acrobat 6 und Adobe Reader 6 unterstützt. Für weitere Informationen zu Zertifikatsicherheit siehe die Acrobat-Dokumentation.

Vorbereitungen für Zertifikatsicherheit

Zur Verwendung von Zertifikatsicherheit benötigen Sie digitale Zertifikate. Genauer gesagt benötigen Sie eine digitale ID (mit einem öffentlichen/privaten Schlüsselpaar) für sich selbst sowie Zertifikate (nur mit einem öffentlichen Schlüssel) für jeden Empfänger. Zertifikate können auf zwei Arten erzeugt werden:

  • Selbst signiert, z.B. in Acrobat erzeugt: erhalten Sie Zertifikate direkt von den Empfängern, ist dieses Verfahren einfach und mit keinerlei Zusatzkosten verbunden. Wenn eine digitale ID jedoch verloren geht, kann sie nicht wiederhergestellt werden; verschlüsselte Dokumente lassen sich dann nicht mehr öffnen.
  • Digitale IDs einer kommerziellen CA sind kostenpflichtig erhältlich, können aber bei Verlust ersetzt werden. Werden AATL-Zertifikate eingesetzt, können diese auch zum digitalen Signieren von Dokumenten verwendet werden, so dass die Validierung in Acrobat keine zusätzliche Konfiguration erfordert.

Zum Erstellen geschützter Dokumente benötigen Sie lediglich die Zertifikate mit dem öffentlichen Schlüssel der Empfänger. Dies unterscheidet sich von den Anforderungen zum Öffnen geschützter Dokumente, wo jeder Empfänger einschließlich Ihnen selbst die entsprechende digitale ID mit dem privaten Schlüssel benötigt. Da Zertifikate keine vertraulichen Informationen enthalten, erfordern sie kein Kennwort und können frei verteilt werden, während digitale IDs in der Regel mit Kennwort oder PIN geschützt sind.

Inkompatibilität von Acrobat beim Einsatz von ECC-Empfängerzertifikaten

Acrobat XI und höher unterstützen Elliptic Curve Cryptography (ECC) mit den Kurven P-256/P-384/P-521 und anderen vom NIST empfohlenen Kurven für die digitale Signatur und Verschlüsselung. Acrobat erzeugt jedoch ein CMS-Objekt, das nicht konform ist zu RFC 5652, wie durch RFC 5753 ergänzt »Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS)«. Dies macht verschlüsselte Dokumente inkompatibel zu Drittanbieter-Software.

Dieses Problem wurde in den Updates von August 2017 für Acrobat DC Continuous track und Acrobat DC Classic behoben. Wir empfehlen, Zertifikatsicherheit mit ECC-Empfängerzertifikäten nicht mit älteren Acrobat-Versionen zu benutzen.

Zertifikatsicherheit in PDFlib-Produkten

PDF-Zertifikatsicherheit wird in folgenden Produkten der PDFlib GmbH unterstützt:

  • PDFlib PLOP und PDFlib PLOP DS können Dokumente für einen oder mehrere Empfänger ver- und entschlüsseln, basierend auf RSA oder Elliptic Curve Cryptography.
  • pCOS interface 11 bietet Informationen zu Dokumenten, die mit Zertifikatsicherheit verschlüsselt sind.