GlobalSign Blog

30 Mär 2017

Worin besteht der Unterschied zwischen Adobe CDS und AATL für digitale Signaturen?

Wenn es darum geht, Dokumente digital zu signieren, ist öffentliches Vertrauen das A und O. Sie wollen, dass Ihre Signatur von der Dokumentensoftware sofort erkannt und validiert wird, damit Empfänger keine Fehlermeldungen bekommen und Ihrer Signatur vertrauen können.

Example of a non-trusted digital signature in Adobe Reader.

Beispiel für eine nicht vertrauenswürdige digitale Signatur in Adobe Reader.

xample of a trusted digital signature in Adobe Reader.

Beispiel für eine vertrauenswürdige digitale Signatur in Adobe Reader.

Wie erkennt eine Dokumentensoftware, welchen Signaturen sie vertrauen kann?

Ob Ihre Signatur vertrauenswürdig ist oder nicht, läuft grundsätzlich darauf hinaus, ob Ihre Signaturanmeldeinformationen (d. h. das digitale Zertifikat) von einer Zertifizierungsstelle (CA) ausgestellt wurde, der die Software vertraut. Genauer gesagt muss die Root der CA im Vertrauens-/Stammspeicher der Software sein, die oft als Trust Anchors (Vertrauensanker) bezeichnet werden. Wenn sich die Root im Speicher befindet, werden alle mit den Zertifikaten der CA erstellten Signaturen automatisch validiert und ihnen vertraut.

Adobe Stammspeicher und Programme

Angesichts der Ubiquität seiner Dokumentensoftware (z. B. Reader, Acrobat, etc.), überrascht es nicht, dass Adobe ein wesentlicher Stammspeicher für CAs ist, die Dokumenten-Signaturanmeldeinformationen anbieten. Unternehmen, die digitale Signaturen erstellen wollen, brauchen ihn, um von den beliebtesten Programmen als vertrauenswürdig erkannt zu werden. Microsoft ist ein weiteres großes Unternehmen mit seiner Microsoft Root Trust List.

Adobe Approved Trust List (AATL)

Wie bekommt also eine CA ihre Root(s) in Adobe? Bei Adobe Reader / Acrobat 9.0+ müssen sie Mitglied von Adobe’s Approved Trust List (AATL) sein. Mitglieds-CAs der AATL sind von Adobe sorgfältig überprüft worden, um sicherzustellen, dass ihre Dienste und Anmeldeinformationen die technischen Anforderungen von AATL erfüllen. Sobald eine CA Teil der Liste ist, wird allen Signaturen, deren digitales Zertifikat ihre Herkunft (Kette) zu ihrer Root zurückverfolgen kann, automatisch in Adobe-Produkten als vertrauenswürdig eingestuft.

Adobe Certified Document Services (CDS)

AATL ist nicht das erste Adobe-Programm, das automatisches Vertrauen von digitalen Signaturen und Zertifikaten behandelt. Sein Vorgänger, das Certified Document Services (CDS) Programm, wurde 2005 mit fünf Mitglieds-CAs (GlobalSign war eine davon) ins Leben gerufen. Zertifikate, die im Rahmen des CDS-Programms ausgestellt wurden, sind von der Adobe CDS Zertifikatrichtlinie geregelt worden.

CDS wird nun schrittweise für AATL aus dem Markt genommen, was zu einer gewissen Verwirrung im Markt geführt hat, was die Unterschiede zwischen den Programmen angeht. Beispielsweise hatten Kunden, die Zertifikate auf der Grundlage des CDS-Programms genutzt haben, anfangs einige Bedenken hinsichtlich der Umstellung auf Zertifikate von AATL. Was bedeutet der Wechsel aber tatsächlich für den Enduser?

Was ist der Unterschied zwischen AATL und CDS?

Um es deutlich zu sagen: Obwohl es einige Unterschiede zwischen den Programmen gibt, sind die wesentlichen Vorteile für ein Unternehmen (z. B. Signaturen wird automatisch in Adobe-Produkten vertraut, Möglichkeit, Dokumente digital zu signieren oder zu zertifizieren, langfristige Signaturvalidierung) weitgehend identisch. Für die Meisten machen sich die Unterschiede nicht bemerkbar.

Es bleiben drei Hauptunterschiede, die je nach den spezifischen Bedürfnissen eines Kunden von Interesse sein können.

Zertifikatpfad

Einer der wichtigsten Unterschiede zwischen CDS und AATL ist der Zertifizierungspfad der Zertifikate. Bei CDS benötigten CAs ihre Zwischen-CA, oder in einigen Fällen die Ausstellende CA, die die Signatur- oder Endentitätszertifikate ausgestellt hat, die von dem Adobe-Stammzertifikat signiert wurden, das in allen Adobe-Produkten eingebettet ist. Das ist bei AATL nicht mehr der Fall (anstatt die CA-Ketten zur Adobe-Root zu verifizieren, lädt Adobe-Software nun regelmäßig eine aktualisierte Liste der CA-Roots herunter, die vertrauenswürdig sind). Dies erleichtert es anderen Zertifikatgemeinschaften wie eID-Programme der Regierung, der Trust List beizutreten.

CDS Certificate Path

CDS-Zertifikatpfad

AATL Certification Path

AATL-Zertifizierungspfad

Was bedeutet das für den Endbenutzer?

  • Es können mehr Entitäten dem Programm beitreten, sodass Endkunden mehr Auswahl und Optionen haben, wenn es darum geht, einen Zertifikatanbieter zu finden.
  • Für GlobalSign gilt, da unsere AATL-Zertifikate mit unserer Haupt-GlobalSign-Root verkettet sind, die sich auch im Microsoft Root Trust Store befindet, sind auch Signaturen, die mit unseren AATL-Zertifikaten erstellt werden, in Microsoft Office vertrauenswürdig. So können Sie PDFs, Microsoft-Dokumente und E-Mail mit einem Zertifikat digital signieren.

Regelnde Richtlinie

Wie bereits erwähnt, werden AATL-Zertifikate von den Technischen Anforderungen von AATL geregelt, die einen internationaleren Ansatz für die Implementierungsmöglichkeiten gewählt haben. Beispielsweise benötigte CDS ein WebTrust für das CA-Audit, wohingegen AATL die Audits auf Folgendes erweitert:

  • WebTrust for CA audit
  • ETSI 101 456 audit
  • ETSI 102 042 audit
  • ISO 21188:2006; und/oder 4.5. Audit nach Deutschem Signaturgesetz

Was bedeutet das für den Endbenutzer?

Ähnlich wie bei den Änderungen im Zertifikatpfad öffnen die Unterschiede in den regulierenden Richtlinien die Türen für mehr Entitäten, die dem Programm beitreten können, vor allem außerhalb der USA.

Long Term Validation (LTV)

Long Term Validation (LTV) einer digitalen Signatur ist für die meisten Szenarien wichtig. Es bedeutet, dass die Gültigkeit der Signatur weiterhin überprüft werden kann, unabhängig vom aktuellen Status des Signierzertifikats (z. B. wenn es abgelaufen ist oder widerrufen wurde). So lange wie das Zertifikat zum Zeitpunkt der Signierung also gültig war, sollte die Signatur vertrauenswürdig sein.

Adobe Versionen 6, 7 und 8 benötigten eine "sichere Zeitangabe" für LTV. Das bedeutete, dass ein Zeitstempel eines vertrauenswürdigen Drittanbieters in die Signatur eingefügt werden musste. Der Zeitstempel wird als Referenzpunkt für die Validierung der Signatur verwendet. Wurde, gemäß Zeitstempel, die Signatur eingefügt, bevor das Zertifikat abgelaufen war oder widerrufen wurde, bleibt die Signatur gültig.

CDS hat sichere Zeitstempel implementiert, indem es einen Pfad zum Zeitstempelserver in die Zeitstempelerweiterung des CDS-Identitätszertifikats eingefügt hat.  Mit der Einführung von AATL, enthielt die Standardimplementierung keine sicheren Zeitstempel als Teil der Basisfunktionalität. Wenn ein sicherer Zeitstempel erforderlich wurde, musste man den Zeitstempel separat über die Acrobat Zeitstempel-Konfiguration konfigurieren.

Acrobat Timestamp Configuration

Ab Adobe 9+, als das AATL-Programm eingeführt wurde, ist eine "sichere Zeitangabe" für LTV nicht mehr erforderlich. Stattdessen werden Zertifikatsperrinformationen (CRL oder OCSP) neben dem Zeitstempel aus der Systemuhr des Benutzers in der Signatur eingebettet und diese werden von der Software referenziert, um die Gültigkeit zu bestimmen. Dies dient dem gleichen

Zweck wie die früher verwendeten sicheren Zeitstempel, die sich auf eine vertrauenswürdige Zeitquelle (d. h. Atomuhr) verlassen. Solange das Zertifikat zum Zeitpunkt der Signierung gültig war, wird der Signatur vertraut, selbst wenn das Zertifikat zu einem späteren Zeitpunkt abläuft oder widerrufen wird.

Was bedeutet das für den Endbenutzer?

Da er für LTV nicht mehr benötigt wird, ist ein Zeitstempel eventuell nicht mehr in einem AATL-Zertifikat enthalten sein. Für einige Unternehmen ist das vielleicht nicht von Bedeutung. Aber wenn Sie Unleugbarkeit benötigen, zeitkritische Transaktionen managen müssen oder einfach nur Vertrauenswürdigkeit haben wollen, wenn Dokumente signiert wurden, dann sollten Sie sicherstellen, dass der ausgewählte Anbieter Zeitstempel unterstützt.

GlobalSign bietet sichere Zeitstempel von unserem RFC 3161-komformen, SHA256-Zeitstempel-Server als Standardfunktion in AATL-Zertifikaten und nutzt die Zeitstempelerweiterung im Zertifikat. Das bedeutet, dass Acrobat-Benutzer keine Zeitstempelserver-Einstellungen zu konfigurieren haben sollten, da die Informationen bereits im Zertifikat enthalten sind. (Hinweis: Server-Implementierung, z. B. Adobe Richtlinie benötigt noch eine Konfiguration).

Umstellung auf AATL – Kein Grund zum Fürchten

Da Adobe CDS auslaufen lässt, sollten sich Unternehmen, keine großem Gedanken machen stattdessen AATL zu übernehmen. Die daraus resultierenden Signaturen und Vorteile sind weitgehend identisch und bei der Änderung des Zertifizierungspfades bietet AATL tatsächlich einige zusätzliche Funktionen, wie z. B. vertrauenswürdige Signaturen auch in Microsoft Office-Dokumenten zu erstellen. Für alle, die in punkto Compliance oder rechtliche Akzeptanz  Bedenken hegen: AATL und CDS haben die gleiche Bedeutung in Bezug auf eIDAS Advanced Signatures, US ESIGN und UETA und viele andere branchenspezifische Regelungen.

Haben Sie Fragen zu CDS und AATL oder zu digitalen Signaturen im Allgemeinen? Besuchen Sie unsere Website oder kontaktieren Sie uns online.

von Lea Toms

Artikel teilen

Jetzt Blog abonnieren