In diesem Artikel
Bei der Archivierung von Dokumenten gibt es allerhand Vorschriften. Mit der PDF/A-Norm wird die langfristige Reproduzierbarkeit gewährleistet. Daher stellen viele Unternehmen mithilfe von SEAL Systems auf PDF/A um. Bei der Anpassung von PDF-Dateien an die PDF/A-Norm treffen wir immer häufiger auf digital signierte Dateien. Dies stellt uns vermeintlich vor ein Problem: Entweder können wir die Anpassung an die Norm vornehmen oder die Signatur beibehalten. Beides geht nicht. Oder doch?
PDF-Dateien richtig signieren
Reihenfolge beachten – Signatur kommt zum Schluss
Warum aber werden Dateien signiert, bevor Sie mit unserem PDF/A-Workflow gesichert werden? Das Aufbringen einer Signatur in einem Dokumenten-Workflow sollte stets der letzte Schritt sein. Doch häufig erfolgte die Signatur schon bevor unsere Kunden die Datei erhalten – z.B. von ihren Vorlieferanten. Signaturen kommen aktuell stark in Mode und so kommt der Fall, dass Fremddateien signiert sind, immer häufiger vor.
Weiterhin nimmt die Nutzung von einfach und intuitiv zu bedienenden Lösungen wie Adobe Sign und Docu Sign zu. Damit kann man rasch einen etablierten Unterschriftsprozess im Unternehmen durch einen durchgängig digitalen Prozess ersetzen. Die technische Qualität dieser digitalen Signatur ist recht gering, aber wo keine gesetzlichen Vorschriften mehr verlangen, mögen diese Lösungen ausreichen. Die Einführung geht so einfach, dass an nachfolgende Prozesse, wie Archivierung meist nicht gedacht wird.
Achtung Error: „Dokument wurde nach dem Unterzeichnen verändert oder beschädigt”
Ist eine PDF-Datei nicht normgerecht, so muss sie geändert werden, um gesetzeskonform archiviert zu werden. War sie bereits signiert, dann wird diese Signatur dadurch gebrochen. Denn jede Änderung an der Datei bricht die Signatur; auch unsichtbare Änderungen, wie z.B. das Eintragen von Metadaten. Dem Inhalt der PDF-Datei schadet das Brechen der Signatur hingegen nicht. Das Missliche ist aber, dass dieser Fakt jedem Anwender eines Acrobat Readers mit einem deutlich sichtbaren roten Kreuz und einer beunruhigenden Fehlermeldung („Dokument wurde nach dem Unterzeichnen verändert oder beschädigt”) vor Augen geführt wird.
Alternativ kann der Kunde unseren PDF/A-Workflow so einstellen, dass eine PDF-Datei nicht an die PDF/A-Norm angepasst wird, wenn sie signiert ist. Dann bleibt die Signatur natürlich in Takt, aber die PDF-Datei ist unter Umständen nicht langzeit-tauglich.
Signaturinformationen erhalten
In manchen Fällen enthält die Signatur wichtige Informationen, die man nicht verlieren möchte, wie zum Beispiel den Eigentümer des Zertifikats oder das Datum der digitalen Unterschrift. Bevor die Signatur gelöscht wird, können wir diese Informationen zur Signatur auslesen; Diese können auf das erzeugte PDF/A gestempelt werden oder auch auf einer Zusatzseite visualisiert und diese Seite angehängt werden (Stichwort: Signaturseite).
Signatur löschen
Kann man eine Signatur nicht spurlos löschen, wenn sie gebrochen ist, weil man der Einhaltung der PDF/A-Norm eine höhere Priorität beigemessen hat? Ja, das ist möglich. Gebrochene Signaturen werden dann auch nicht mehr im Acrobat Reader als solche gefunden.
Nicht alle Signaturen sind sichtbar. Eine sichtbare Unterschrift ist aber ein gern genutzter Zusatz zur digitalen Signatur. Sie hat mit dem eigentlichen kryptographischen Verfahren nichts zu tun. Beim Entfernen der digitalen Signatur kann man diese Visualisierung leider nicht entfernen. Programmtechnisch kann man nicht ermitteln, welches sichtbare Objekt im PDF beim Aufbringen der Signatur einmal zu deren Visualisierung aufgebracht wurde. Es ist aber vielleicht auch positiv zu sehen, wenn wenigstens diese händisch anmutende Unterschrift erhalten bleibt.
Hacker können signiertes PDF ändern, ohne die Signatur zu brechen! Können wir das auch?
Nein, das funktioniert nicht. Öfter ging schon durch die Medien, dass es gelungen ist, eine signierte PDF-Datei zu ändern und mehrere PDF-Reader (davon gibt es mindestens 20) haben es nicht gemerkt. Das waren immer Fehler in der Reader-Implementierung. Das kryptographische Verfahren selbst ist sicher.
Also keine Chance im positiven Sinne hier etwas nachzuhelfen, um PDF/A-Anpassung und Signatur unter einen Hut zu bekommen.
Alles aufheben und in einem Container zusammenfassen
Der Teil 3 der PDF/A-Norm lässt es zu, PDF/A als Container für beliebige Dateien (nicht genormtes PDF und sogar Non-PDF) zu verwenden. Diese etwas unlogische Aufweichung der PDF/A-Norm erweist sich nun als Lösung, alle Informationen zusammen zu halten.
Die von uns erzeugte PDF/A-Datei (nach entfernter Signatur) wird zur Hüllendatei. Und diese Hülle nimmt das ursprüngliche, nicht genormte, aber signierte PDF auf. Zusätzlich kann man auch noch eine XML-Datei mit den ermittelten Signaturinformationen in die Hülle stecken. Diese Idee gibt es auch schon recht lange, bekommt aber erst aktuell Akzeptanz bei unseren Kunden.
Als technischen Overkill kann sich der Kunde diesen Container auch noch mit einem digitalen Siegel (*) seiner eigenen Firma absichern; zur totalen Erhöhung der Glaubwürdigkeit.
(*) Was ist ein Siegel? Kryptographisch wie Signatur, nur im praktischen Gebrauch mit einer anderen Bedeutung (Als Pendant zu elektronischen Signaturen für natürliche Personen) führte die eIDAS-Verordnung zusätzlich elektronische Siegel ein, die im Gegensatz zu einer Signatur auch von Organisationen (juristischen Personen) verwendet werden können. Was in diesem Artikel als Problem bei Signaturen beschrieben wird, gilt genauso auch für Siegel.
Zusammengefasst – Workflow zum PDF/A mit Signatur
Gemäß Archivierungsvorschriften stellen viele unserer Kunden aktuell von PDF auf PDF/A um. Kein Problem mit unserem Prozess zur PDF/-Erstellung. Allerdings müssen bei der Anpassung von digital signierten PDF-Dateien ein paar Besonderheiten beachtet werden, um Fehlermeldungen beim Auslesen des PDFs zu vermeiden.
Befolgen Sie folgende Schritte:
- Signaturinformationen auslesen
- Signatur entfernen
- Anpassen an PDF/A mit unserem Prozess zur PDF/A-Erstellung
- PDF/A-3 erzeugen mit eingebetteter Originaldatei und XML mit ursprünglichen Signaturinformationen
- Container siegeln
Sprechen Sie uns an
Wenn Sie also in den scheinbaren Widerspruch – Signatur versus PDF/A – verstrickt sind, dann sprechen Sie uns an. Insbesondere, wenn das Schlagwort Adobe Sign oder Docu Sign fällt, dann sollten Sie als Datei-Archivar gefasst sein, dass man Ihre Anforderungen nicht berücksichtigt.