SwissSigner Public Beta

Vor wenigen Minuten erhielt ich ein Mail von SwissSign, dass eine öffentliche Beta der Signatursoftware SwissSigner verfügbar sei.
Das musste ich mir natürlich sofort ansehen - hier mal die ersten Eindrücke:

• Setup sehr gut - wird es unter Vista/Windows 7 mit UAC ausgeführt, so installiert es sich je nach verfügbaren Rechten entweder in den persönlichen Ordner des Benutzers oder in den Programm-Ordner. Vorbildlich
• Eine Assoziation mit .pdf-Dateien ist nur möglich, wenn Setup mit Administratorenrechten ausgeführt wird. Diese erfolgt dann leider aber primär, so dass PDFs immer mit dem SwissSigner geöffnet werden.

Nun also mal ein erstes PDF erstellen (Export aus Microsoft Word 2007) und mit SwissSigner öffnen - die Oberfläche ist übersichtlich und intuitiv.
Es werden verschiedene Signaturmöglichkeiten angeboten:

• Einzelsignatur
• Unsichtbare Einzelsignatur
  
• Multisignatur (Zertifizierung)
• und Unsichtbare Multisignatur

Probieren wir also mal die Einzelsignatur aus - sichtbar.
Die Statusleiste informiert mich, dass ich nun mit der rechten Maustaste das Feld für die Signatur aufziehen könne.



Sobald ich die rechte Maustaste wieder loslasse erscheint ein modaler Dialog und fragt mich nach dem Passwort des Tokens:



Im nächsten Fenster kann ich auswählen, welches Zertifikat ich verwenden möchte (qual, auth), den Ort für die Signatur angeben, ein Bild auswählen (unterstützt werden PNG, BMP oder GIF), einen Grund angeben und die Sprache auswählen:


Alles eingegeben, OK geklickt und schon wird gefragt, unter welchem Namen das signierte Dokument gespeichert werden soll. Vorgeschlagen wird "[Dokumentenname] (Signiert von
[Zertifikatsname])".

Wählt man das qualifizierte Zertifikat, so fragt die Siemens CardOS API noch nach dem 2. PIN für dieses nach, und schon erscheint das signierte Dokument.



Die Draw-Funktion lässt leider in Sachen Geschwindigkeit noch ein wenig zu wünschen übrig - Zoom In benötigt mehrere Sekunden, auch das maximieren des Fensters.
Hier ein Zoom (mit Zensur, das verwendete Bild ist meine Unterschrift) wie die Signatur auf dem Dokument aussieht:

Die erste Zeile ist der Grund, der im Dialog angegeben wird. Zeile 2 wird automatisch erstellt, Zeile 3 besteht aus dem angegeben Ort und dem aktuellen Datum.
Das Datum wird nun der Knackpunkt sein - ich stelle die Systemzeit um einen Tag zurück und signiere das PDF erneut (mit französisch als Signatursprache, mal zum Testen).
Ergebnis: Neuer Vorschlag beim Dateinamen enthält nun "signé par", das ist schön.
Datum und Uhrzeit für die Signatur werden vom Timestamp-Server geholt, das Datum für die sichtbare Unterschrift aber aus der lokalen Systemzeit:

Kleiner Lapsus, der aber sicher noch korrigiert werden kann. Hier noch die Release Notes:



und das About



Fazit fürs Erste: Eine schöne Software, aber es darf noch an den Ecken gefeilt werden. Als Alternative gibt es den Open eGov Local Signer, der mittlerweile das Beta-Stadium verlassen hat (aber nicht mehr Open ist, wie ursprünglich angekündigt). Dieser kann auch mit nicht-SwissSign-Zertifikaten umgehen.

Open eGov Local Signer neue Beta

So, die Leute vom Bund haben eine neue Version des Open eGov Local Signers rausgebracht - damit können nun PDFs zusätzlich auch mit Zeitstempel versehen werden. Die Angaben für den Timestamping-Dienst von SwissSign (noch in Beta) sind bereits integriert.

Die Beta 1 von Version 2.0 gibt's hier zum Runterladen.

Weitere neue Funktionen:

• Speicherbare Profile
• Schöner Splashscreen

Leider lässt sich das Unterschriftsfeld nun nicht mehr direkt positionieren, dies muss man umständlich über das Profil machen - schön wäre hier definitiv eine drag-and-drop-Funktion.

Die Software ist Freeware, kann also von jedermann frei runtergeladen und gratis verwendet werden.

PS: In Hoc Signo Vinces bedeutet gemäss Wikipedia "In diesem Zeichen wirst Du siegen" - hm... vincere, vinceo... ich glaube eher es heisst "siegst du"

PDFs signieren, zertifizieren

Leser meines Blogs wissen, dass ich schon eine Weile im Besitz einer qualifizierten digitalen Signatur bin. Doch ausser für Mails ist diese ziemlich unhandlich anzuwenden - in der Kanzlei haben wir zwar Aloaha, aber auf meinem eigenen PC ist keine Software, mit der ich PDFs unterzeichnen könnte. Und - mal ehrlich - wer will für die wenigen Funktionen, die die frei verfügbaren Tools nicht bieten, Adobe Acrobat kaufen? Schon der Reader ist mittlerweile zu einem über 100 MiB grossen Monster verkommen.

Jedenfalls wurde ich letzthin von den freundlichen Leuten bei Privasphere darauf hingewiesen, dass der Bund bzw. das EJPD ein Gratis-Programm zur Verfügung stellt, welches PDFs signiert. Es heisst Open eGov LocalSigner.

Mit diesem Programm lassen sich beliebige PDFs öffnen und graphische oder unsichtbare Unterschriften hinzufügen - Bedingung: Der Adobe Reader muss installiert sein.

Auch wenn es "Open" heisst - nicht vom Namen täuschen lassen, es ist (nur) Freeware. Ursprünglich hiess es auf der Open eGov Plattform dass alle Software unter GPL v2 (mit Classpath Ausnahme) angeboten werden - bis ich nach der Source anfragte, weil die Applikation zur Zeit leider nur mit der lokalen Rechnerzeit arbeitet und kein Timestamping bietet.

Immerhin: Für die nächste Version (ca. in einem Monat) wurde mir die Timestamping-Funktion angekündigt. Vielleicht wird die Funktion grad noch fertig bevor die kostenlose Beta-Phase des SwissSign-Zeitstempeldiensts endet, Hoffnung bleibt :-)

Was gibt's sonst noch? Ah ja, die Schrauben sind mittlerweile angekommen, gleich doppelt innerhalb einer Woche (habe jetzt 32 Stück, mehr als genug, wer braucht noch welche?)

Time Stamping mit Swiss Sign

So, seit letzter Woche bietet Swiss Sign nun Time Stamping für Dokumente an - im Betatest zwar, aber bis jetzt habe ich keine Probleme bemerkt.

Was bringt Time Stamping? Das Problem ist, dass digital unterzeichnete Dokumente für den Unterzeichnungszeitpunkt normalerweise die lokale Rechnerzeit verwenden. Damit ist es möglich, ein Dokument vor- oder rückzudatieren, innerhalb der Gültigkeit des Zertifikats natürlich.

Insofern ist ein digital unterzeichnetes Dokument ohne Zeitstempel ähnlich wie eines auf Papier: Ort und Datum schreiben wir von Hand hinein, und keiner überprüft es - nur aus dem Kontext ist der Zeitraum manchmal einschränkbar - zum Beispiel, erst nachdem ich das Dokument zur Unterzeichnung erhalten habe oder vor dem Poststempel-Datum.

Will ich bei einem Papierdokument den Zeitpunkt amtlich sicher festlegen, so bleibt nur die Möglichkeit, diesen von einem Notar beglaubigen zu lassen. Obwohl ich meinen Arbeitgebern hier keine Arbeit wegnehmen möchte - der Weg zum Notar ist meistens lang und für viele Angelegenheiten zu teuer.

Digitale Dokumente bieten hier einen grossen Vorteil: Während des Signatur-Prozesses wird der Hash des Dokumentes vom vertrauenswürdigen (oder besser: zertifizierten) Server signiert. Der Server, die Time Stamping Authority, garantiert somit, dass ein Dokument mit genau diesem Hash zu genau diesem Zeitpunkt existiert hat.

Auf der Webseite bietet Swiss Sign die Konfigurationsdatei für Adobe Acrobat an - doch nicht jeder kann sich dieses Softwarepaket leisten. Ich für meinen Teil verwende die Aloaha PDF Suite, welche auch Signatur und Timestamping zulässt.

Da Swiss Sign die URL der Time Stamping Authority nicht direkt publiziert habe ich angefragt und diese vom Support innerhalb weniger Stunden auch bekommen:

http://tsa.swisssign.net

Nach einem Blick in die FDF-Datei auf der Webseite bemerkte ich, dass ich diese auch selbst hätte herausbekommen können. Leider lässt sich bei Aloaha nicht einfach eine beliebige neue Time Stamping Authority hinzufügen, da die entsprechende Liste verschlüsselt ist und auf dem Hersteller-Server publiziert wird.

Doch die Programmierer von Wrocklage waren sehr nett und schnell - nach einer kurzen Anfrage erhielt ich den verschlüsselten Eintrag zum manuellen Einbau, und bevor ich diesen Eintrag fertigstellen konnte wurde die Serverliste upgedatet.

Wie richtet man es ein? Es könnte nicht einfacher sein:
1. Rechtsklick auf das PDF Suite-Symbol im Systray, Einstellungen
2. Wechsel auf das Register "Digitale Unterschrift"
3. Zertifikatsoptionen einstellen


4. Das kleine Symbol mit Uhr und Schloss drücken
5. TSA-Liste vom Server laden, http://tsa.swisssign.net auswählen, Zeitstempel aktivieren

6. 2 mal OK drücken, fertig

Wenn man nun ein PDF neu erstellt (oder auch später mit "Sign PDF") wird beim Signieren automatisch der Timestamp eingefügt - im Adobe Reader sieht das dann so aus:

Somit sind nun digital signierte Dokumente mit Zeitstempel günstig und schnell möglich - danke an Wrocklage und Swisssign!