Bergische Universität Wuppertal
C
Mathematik und
Naturwissenschaften

Fachgruppe Mathematik und Informatik

▸Hinweise für Besucher
▸E-Mail / WWW
▸IT-Dienste
▸Mitteilungen

TOP LINKS

WUSEL
ZSB
Bibliothek
ZIM
Uni für Schüler(innen)
MathePrisma
Mathewerkstatt

LINKS

Online-Einschreibung
Studienberatung
Studienstart 2013
Vorlesungsverzeichnis
Qualitätsverbesserungsm.
Online-Hörsaalbelegung
Bibliothek
Podcast
Uni Kollektion

 		Startseite Fachgruppe Mathematik & Informatik > Information > IT-Dienste > Dienste für die Mitarbeiter(innen) > Zertifikate

kostenlose X.509-Zertifikate für sichere E-Mail beziehungsweise elektronische Dokument-Signaturen

Für Mitglieder der Bergischen Universität existiert seit geraumer Zeit die Möglichkeit, kostenlos Zertifikate zum Zwecke abgesicherter E-Mail beziehungsweise zur elektronischen Unterzeichnung von Dokumenten zu erwerben:

      http://www.zim.uni-wuppertal.de/dienste/email/pki.html

weist in Fachchinesisch auf diese Möglichkeit hin. Eigentlich ist es aber ganz einfach: Sie tragen auf der über den Link "S/MIME Zertifikate" erreichbaren Web-Seite Ihre

      BUW-E-Mail-Adresse, z.B. Vorname.Nachname@math.uni-wuppertal.de

und Ihren vollen Namen (inkl. Vornamen), so wie er in Ihrem Ausweis steht (der Ausweis muss vor Aushändigung des Zertifikats im ZIM, Raum P.06.08, Frau Schreiner vorgelegt werden), sowie eine einmal wiederholte maximal sechsstellige PIN, mit deren Hilfe Sie Ihr Zertifikat zukünftig bearbeiten können, ein, klicken auf den "Weiter"-Knopf, erzeugen in Ihrem Web-Browser durch einfachen Klick ein Schlüsselpaar, dessen öffentliche Hälfte an das ZIM übermittelt wird. Außerdem wird Ihr Zertifikatsantrag als pdf-Datei angezeit.

Drucken Sie Ihn aus, unterschreiben Sie ihn und nehmen Sie ihn mit zum ZIM. Dort wird dieser mit Ihren Ausweisdaten verglichen und bei Übereinstimmung eine "Beglaubigung" (Zertifikat) ausgestellt, die Sie mit dem bei der Antragstellung erzeugten Schlüsselpaar in der Browser-Zertifikatsdatenbank verlinken. Details zum nötigen Vorgehen dazu bekommen Sie per E-Mail von der pki@uni-wuppertal.de übermittelt:

-----------------------------------------------------------------------
"Sehr geehrte Nutzerin, sehr geehrter Nutzer,

die Bearbeitung Ihres Zertifizierungsantrags ist nun abgeschlossen.

Ihr Zertifikat mit der Seriennummer NNNNNNNN ist auf den Namen
CN=Dr. Vorname Nachname,O=Bergische Universitaet Wuppertal,C=DE
erstellt worden und im Anhang dieser Mail beigelegt.
Sie benötigen die Seriennummer, um Ihr Zertifikat gegebenenfalls sperren
zu können.

Um Ihr Zertifikat nutzen zu können, müssen Sie alle folgenden Zertifikate in
Ihren Browser importieren. Achten Sie darauf, dass Sie die Zertifikate
auf dem
Rechner importieren, von dem aus Sie den Antrag gestellt haben, weil
sich dort
der zugehörige Schlüssel befindet.

1. Für die CA-Zertifikate wählen Sie bitte die Seite
https://pki.pca.dfn.de:443/uni-wuppertal-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2
und folgen den Anweisungen.

2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link:

https://pki.pca.dfn.de:443/uni-wuppertal-ca/cgi-bin/pub/pki?cmd=getcert......e=CERTIFICATE

Mit freundlichen Grüßen

Ihr PKI-Team der Bergische Universitaet Wuppertal"
------------------------------------------------------------------------

Jetzt besitzen Sie im Browser eine beglaubigte elektronische Identität, ein Zertifikat. Um dieses für E-Mail nutzen zu können, muss es zusammen mit dem zugehörigen privaten Schlüssel vom Browser in Form einer *.p12-Datei zum E-Mail-Programm übertragen werden (siehe etwa:   https://support.comodo.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=1186).

Gehen Sie bitte mit Ihrem privaten Schlüssel genau so sorgfältig wie mit einem Ausweisdokument um: geben Sie ihn NIE an andere weiter, speichern Sie ihn immer verschlüsselt in einer *.p12-Datei ab, widerrufen Sie Ihr Zertifikat, wenn Ihnen Ihr privater Schlüssel abhanden kommt, ...

In Ihrem E-Mail-Programm können Sie jetzt sichere E-Mail nutzen (S/MIME):

  • ausgehende E-Mail mit einer Unterschrift ausstatten, die die Mail eindeuig als als von Ihnen stammend authentifiziert, eine Checksumme des gesamten Mail-Inhalts inklusive Anhängen in die Mail integriert, die den Mail-Inhalt als ungeändert ausweist und diese Nichtänderung beim Mailempfänger überprüft,
  • eingehender signierter Mail als sicher vom Absender stammend vertrauen und sicher sein, dass deren Inhalt im Internet in keinem Buchstaben verändert wurde,
  • ausgehende E-Mail verschlüsselt für ... versenden, sofern Sie die öffentlichen Schlüssel aller Ihrer E-Mail-Korrespondenten besitzen oder anfordern können.

Was können Sie sonst noch mit Ihrem Zertifikat anfangen?

Die leidige immer wieder vorgebrachte Argumentation, dass elektronische Dokumente auch ohne Unterschrift gültig seien, ist ab sofort für Sie hinfällig: Sie können mit Hilfe ihres Zertifikats elektronische Dokumente (*.pdf, *.odt, ...) als eindeutig von Ihnen stammend und seit Unterschrift ungeändert ausweisen, sie signieren. Im Falle von *-pdf-Dateien ist sogar ein beglaubigtes Unterschriftsdatum (ein beglaubigter, überprüfbarer Zeitstempel) verfügbar. (Zur derzeitigen rechtlichen Situation in Deutschland und der EU siehe (7) und (9).)

LibreOffice/OpenOffice benutzt automatisch die Firefox-Zertifikatsdatenbank. Sie müssen also lediglich Ihr Dokument speichern, Datei->Digitale Signaturen anwählen, das Master-Passwort der NSS Certificate DB eingeben und das für die Unterschrift zu benutzende Zertifikat auswählen.

Als Dokumenteigenschaft erscheint dann z.B.:

   Digital signiert: 06.09.2012, 09:36:55, Vorname Nachname [Digitale Signatur...]

Das Problem dieser Art des Signaturdatums ist, dass es das Datum Ihres Computer-Betriebssystems ist, das evtl. falsch konfiguriert sein kann!

Das kann das frei erhältliche und benutzbare Programm JSignPdf (http://jsignpdf.sourceforge.net/) zur Signierung von pdf-Dateien besser, sofern es (und acroread) geeignet konfiguriert wird.

Laden Sie dazu die Datei JSignPdf-1.3.9.zip von http://jsignpdf.sourceforge.net/ herunter, entpacken Sie sie und starten Sie mittels "java -jar JSignPdf.jar".

Zur Erzeugung einer signierten pdf-Datei füllen Sie aus:

-----------------------------------------------------------------
Schlüsselbund: BCPKCS12     [x] Erweiterte Ansicht
Schlüsselbunddatei: /home/.../VornameNachname.p12
Schlüsselbund Password: XXXXXXXXXXXXXXXXXXXXXXXXX
PDF Datei eingeben:  (Pfad der pdf-Datei, die Sie signieren wollen)
PDF Encryption: Not encrypted
...
Begründung: Autor      (oder Mitzeichner, ...)
Ort:        Bergische Universität Wuppertal, FB C
Kontakt:    Vorname.Nachname@math.uni-wuppertal.de
Zertifizierungsstufe:  Keine Veränderungen erlaubt
...
    [x] Sichtbare Signatur
-----------------------------------------------------------------

Nach Anklicken von [TSA/OCSP/CRL]

---------------------------------------
[x] Verwenden Zeitstempel-Server

TSA URL       http://zeitstempel.dfn.de
...
[x] CRL Aktivieren
---------------------------------------

und nach Anklicken von Einstellungen

---------------------------------------
Seite    N
Links unten X   20.0
Links unten Y    0.0
Rechts oben X  420.0
Rechts oben Y  100.0

Anzeige        Nur Beschreibung  [x] Acrobat 6 layer mode
...
---------------------------------------

und klicken dann auf den Knopf [PDF signieren]: es wird eine mit Ihrem Zertifikat signierte Version Ihrer pdf-Datei erzeugt, wobei der Signaturzeitstempel des DFN-Zeitstempelservers benutzt wird.

Bemerkung: Das benutzte acroread muss noch dazu gebracht werden, deutsche Zertifikate und den DFN-Zeitstempelserver als vertrauenswürdig anzusehen. Das geschieht folgendermaßen:

acroread starten. Über Document->Manage Trusted Identities->Add Contacts->Browse das mittels z.B.

  http://www2.math.uni-wuppertal.de/~buhl/index_de.html#oeff
  DeutscheTelekomRootCA2.crt

heruntergeladene deutsche Root-CA-Zertifikat als

 [x] trusted root
 [x] Certified Documents

zulassen. Analog das mittels z.B.

  http://www2.math.uni-wuppertal.de/~buhl/index_de.html#oeff
  dfn-zeitstempel-dienst.crt

heruntergeladene dfn-Verein-CA-Services-Zertifikat importieren.

Nun werden die signierten pdf-Dokumente als

   Digital unterschrieben von Vorname Nachname
   Date: 2012.09.06 11:21:50 MESZ
   Reason: Autor
   Location: Bergische Universität Wuppertal, FB C

mit sichtbarer Signatur gekennzeichnet als

Certified by Vorname Nachname ...

No changes are allowed
Valid certified document:
   Document has not been modified since it was certified
   Signer's identity is valid
   Signature is timestamped.
Signature Details
   Reason: Autor
   Location: Bergische Universität Wuppertal, FB C
   Certificate Details...
Last Checked: 2012.09.06 10:59:25 +01'00'
Field: Signature1 on Page N

ausgewiesen.

Die Signatur verleiht darüber hinaus dem signierten Objekt die Eigenschaft der Nichtabstreitbarkeit:

"Unwiderruflichkeit (die Sicherstellung, dass der Benutzer nicht frühere Tätigkeiten oder Vereinbarungen abstreiten kann). ... D. h. der Urheber kann nicht bestreiten, dass er das Dokument in der angezeigten Version signiert hat." ( http://www.linguee.de/englisch-deutsch/uebersetzung/non-repudiation.html)

Das ist insbesondere beim Signieren von vertragsähnlichen Dokumenten durch alle Vertragsparteien wichtig.

Mit Hilfe von JSignPdf und Ihres X.509-Zertifikats können Sie pdf-Dateien auch verschlüsseln, wenn Sie über die öffenlichen Schlüssel aller Adressaten verfügen.

Weitere Verwendungsmöglichkeiten des X.509-Zertifikats des ZIM:

  • Signieren und Verschlüsseln beliebiger Dateien (mittels gpgsm, kleopatra, pgp4win): *.p7m, *.p7s, *.pk7, *.pem-Dateien
  • Benutzeridentifikation (Authentifikation) mittels X.509-Zertifikat statt [Benutzernamen, Passwort]-Paar / Client Authentication bei Client-Server-Interaktionen
  • Signieren von Transaktionen (sign transaction): Zustellung, Bezahlung, ...
  • Signaturen in Web-Applikationen (Web Cryptography API)

Literatur:

  1. http://www.zim.uni-wuppertal.de/fileadmin/zim/ueber_uns/pdf/Dienstleistungsportfolio.pdf#page=1
  2. http://kb.mozillazine.org/Installing_an_SMIME_certificate
  3. https://support.comodo.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=1186 (move cert from firefox to thunderbird)
  4. http://de.wikipedia.org/wiki/S/MIME
  5. http://simpleauthority.com/help/usingCerts.html
  6. http://jsignpdf.sourceforge.net/uploads/JSignPdf.pdf
  7. https://www.pki.dfn.de/faqpki/faqpki-recht/ (fortgeschrittene vs. qualifizierte Signaturen), insbesondere https://www.pki.dfn.de/faqpki/faqpki-recht/#c15216
  8. http://www.dfn.de/fileadmin/3Beratung/Recht/1infobriefearchiv/Infobrief_04_11.pdf (PGP-Keyserver - ein rechtliches Risiko)
  9. http://www.heise.de/newsticker/meldung/EU-will-eID-Anwendungen-in-Europa-vereinheitlichen-1604528.html (eID, nPA, EU-Signaturgesetz: fortgeschrittene oder qualifizierte Signatur); Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on electronic identification and trust services for electronic transactions in the internal market
  10. http://de.wikipedia.org/wiki/PKCS (PKCS-Dateiformate)
  11. Inkrementelle pdf-Versionshistorie und "nochange"-Signaturen (Digital Signatures in a PDF)
HJB © Prof. Dr. Hans-Jürgen Buhl ,  E-Mail: buhl (at) math.uni-wuppertal.de     Valid HTML 5 (experimental) CSS ist valide!   Impressum  Datenschutzerklärung  Rechtliche Hinweise