Sicherheit bei PDF

Internet Internet Sicherheit
#1

Hallo WWWler,

ich habe nur eine kurze Frage:
Wenn man mit dem Acro. Distiller eine PDF-Datei erzeugt und diese so erzeugt hat, dass sie nur anschaubar ist, also keine Text entnommen oder etwas kopiert werden kann.
Wie sicher ist dann diese PDF Datei?
Genügt sie behördlichen Ansprüchen.
Ein Beispiel: Eine bank will zB elekt. Kontoauszüge verschicken und ich möchte diese bei einer Behörde vorlegen.

Muss die Behörde diese PDF Dateien akzeptieren?
Genügen da die Sicherheitsstandards?

Vielen Dank

Gruß

Doc

#2

Hallo

ich habe nur eine kurze Frage:
Wenn man mit dem Acro. Distiller eine PDF-Datei erzeugt und
diese so erzeugt hat, dass sie nur anschaubar ist, also keine
Text entnommen oder etwas kopiert werden kann.
Wie sicher ist dann diese PDF Datei?
Genügt sie behördlichen Ansprüchen.
Ein Beispiel: Eine bank will zB elekt. Kontoauszüge
verschicken und ich möchte diese bei einer Behörde vorlegen.

Muss die Behörde diese PDF Dateien akzeptieren?
Genügen da die Sicherheitsstandards?

Bin zwar überfragt wie das gesetzlich aussieht, aber selbst wenn sie geschützt ist (und bei aktuellen Acrobatversionen ist der Schutz ganz brauchbar) könnte ja jeder solch eine Datei erzeugen und austauschen.
Die PDF muß also signiert sein. Das geht zwar auch in PDFs, aber wie soll man die Echtheit des Schlüssels garantieren, meines Wissens gibt es dafür keine akzeptierte Hinterlegungsstelle.
(Hab aber die Signatur in PDF noch nie benutzt, bin also nicht sicher wie die Handhabung ist.)

Gruß, DW.

#3

Hallo,

Die PDF muß also signiert sein. Das geht zwar auch in PDFs,
aber wie soll man die Echtheit des Schlüssels garantieren,
meines Wissens gibt es dafür keine akzeptierte
Hinterlegungsstelle.

Und ob. Das ganze ist in dem eigens dafür geschaffenen Signaturgesetz (SigG) geregelt: http://www.iid.de/rahmen/iukdgbt.html

Es gibt säckeweise private und staatliche Zertifizierungstellen, sog. „Trustcenter“. Siehe z.B. http://www.trustcenter.de/set_de.htm

Signiert wird dann z.B. mit GnuPG oder PGP.

Gruß

Fritze

#4

Hallo

Die PDF muß also signiert sein. Das geht zwar auch in PDFs,
aber wie soll man die Echtheit des Schlüssels garantieren,
meines Wissens gibt es dafür keine akzeptierte
Hinterlegungsstelle.

Und ob. Das ganze ist in dem eigens dafür geschaffenen
Signaturgesetz (SigG) geregelt:
http://www.iid.de/rahmen/iukdgbt.html

Es gibt säckeweise private und staatliche
Zertifizierungstellen, sog. „Trustcenter“. Siehe z.B.
http://www.trustcenter.de/set_de.htm

Signiert wird dann z.B. mit GnuPG oder PGP.

Ich meinte die eingebaute Signatur _IN_ PDF, ohne die Links anzuschauen, bezweifel ich, das die Technologie darin vorkommt (was aber nichts heissen muß :smile: ).
PGP und Konsorten funktioneren doch nur „extern“ oder in ausgewählten Programmen(?)…

Gruß, DW.

#5

Es gibt säckeweise private und staatliche
Zertifizierungstellen, sog. „Trustcenter“. Siehe z.B.
http://www.trustcenter.de/set_de.htm

Signiert wird dann z.B. mit GnuPG oder PGP.

Ich finde niemanden, der mir einen GnuPG- oder PGP-Schlüssel zertifizieren will. Oder ich bin zu blöd zum Suchen (nicht unwahrscheinlich). Hast du irgendeinen Tipp für mich?

Stefan

#6

Hallo,

Ich finde niemanden, der mir einen GnuPG- oder PGP-Schlüssel
zertifizieren will. Oder ich bin zu blöd zum Suchen (nicht
unwahrscheinlich). Hast du irgendeinen Tipp für mich?

Wie wäre es, wenn Du meinen angegebenen Link zum Trustcenter mal anklicken würdest?

Gruß

Fritze

#7

Hallo,

PGP und Konsorten funktioneren doch nur „extern“ oder in
ausgewählten Programmen(?)…

Es ist kein Problem z.B. mit GnuPG per Signatur die Echtheit einer Datei zu gewährleisten. Warum man dann irgendwelchen propreitären Quark einsetzen sollte, ist mir unerklärlich.

Gruß

Fritze

#8

Ich gebs auf, macht ja kein Sinn…
Lies die Frage, lies meine Antworten, dann erklär mir, wie du die Kurve wieder gekriegt hast…
Ach ne, lass es lieber, bringt eh nix.

#9

Ich gebs auf, macht ja kein Sinn…
Lies die Frage, lies meine Antworten, dann erklär mir, wie du
die Kurve wieder gekriegt hast…

Also, fassen wir mal zusammen: Jemand möchte gerne garantieren, dass bestimmte elektronische Dokumente echt sind. Du selbst stellst fest, dass es dafür nicht reicht, die Dokumente nicht manipulierbar zu machen, da sie ja nicht notwendigerweise von demjenigen stammen müssen, den sie als vermeintlichen Autor angeben.

Lösung: Eine digitale Signatur.

Problem: Wie überprüft man die Echtheit einer digitalen Unterschrift?

Lösung: Public Key Encryption, SigG und öffentlich zugängliche Trustcenter.

Problem: Acrobat Destiller bietet u.U. keine Möglichkeiten, dieses Verfahren zu verwenden.

Lösung: Man verwendet ein kostenlos und frei erhältliches Programm. Wer will, darf auch gerne einen Haufen Geld dafür ausgeben und z.B. die „professional“ Variante von PGP kaufen.

Deine Meckerei: Unverständlich.

Ach ne, lass es lieber, bringt eh nix.

Was soll der Scheiss?

Fragt sich

Fritze

#10

Wie wäre es, wenn Du meinen angegebenen Link zum Trustcenter
mal anklicken würdest?

Also bitte. Fritze. Erst klicken, dann fragen. Nur: ich hatte das
Gefühl, dass TC keine PGP-Zertifizierung mehr macht, und als ich die
Mädels dort anrief, haben sie das freudig bestätigt :frowning:

Ich hab jetzt einen Haufen Zeugs gelesen, und offenbar ist PGP /
GnuPG nicht sonderlich geeignet für eine zentrale Zertifizierung. Es
ginge zwar locker, aber das Web of Trust scheint hier die sich
durchsetzende Technologie zu sein. Die gesetzliche Vorgabe, die ich
erfüllen muss, schreibt mir aber eine zentrale CA vor, und offenbar
kann ich das nur mit S/MIME erreichen (muss Mails versenden).

Schade, schade, aber (Open)PGP und GnuPG scheinen leider auszufallen,
wenn es um qualifizierte Signaturen geht.

Stefan

#11

Wie wäre es, wenn Du meinen angegebenen Link zum Trustcenter
mal anklicken würdest?

Also bitte. Fritze. Erst klicken, dann fragen. Nur: ich hatte
das
Gefühl, dass TC keine PGP-Zertifizierung mehr macht, und als
ich die
Mädels dort anrief, haben sie das freudig bestätigt :frowning:

Hmm … das ist merkwürdig. Bis vor kurzem haben sie das noch gemacht.

Ich hab jetzt einen Haufen Zeugs gelesen, und offenbar ist PGP
/
GnuPG nicht sonderlich geeignet für eine zentrale
Zertifizierung. Es
ginge zwar locker, aber das Web of Trust scheint hier die sich
durchsetzende Technologie zu sein. Die gesetzliche Vorgabe,
die ich
erfüllen muss, schreibt mir aber eine zentrale CA vor, und
offenbar
kann ich das nur mit S/MIME erreichen (muss Mails versenden).

Das wäre in der Tat bedauerlich. Zumindest bei uns im Firmenumfeld geht es aber sowohl mit S/MIME als auch mit PGP/GnuPG. Standardmäßig allerdings auch S/MIME.

Schade, schade, aber (Open)PGP und GnuPG scheinen leider
auszufallen, wenn es um qualifizierte Signaturen geht.

Es gibt ja noch mehr Trustcenter. Nehmen die allesamt keine PGP keys? Das kann ich mir gar nicht vorstellen. Und wenn ja, warum eigentlich?
Da werde ich nochmal nachhaken und entschuldige mich für meinen Anraunzer :smile:

Gruß

Fritze