PDF-formatet och signaturer

pdf

Vi har förvisso Cybercoms lysande PDF-signaturlösning som integrerar signerandet i ett traditionellt webbscenario men ibland kan man ju hitta exempel på arbetsmetoder där man signerar enskilda filer ”för hand” så att säga. Denna artikel handlar om just detta.

Ja, vi vet att det finns andra PDF-läsare än Adobe Reader, t.ex. Foxit Reader. Det finns även läsare baserade på öppen källkod, t.ex. Sumatra PDF, http://pdfreaders.org/. Men man kan inte täcka allt så denna artikel fokuserar på Adobe Reader 9 och Adobe Reader X.

Ställa om truststore i Adobe Reader

Adobe Reader har sin egen truststore och där ligger några få rotcertifikat. Det betyder ofta att en signatur inte kan valideras med denna varning som resultat:

AdobeReader_validationwarning

Vill man istället att Windows truststore ska användas kan man konfigurera om sin Adobe Reader.

rootprograminera_acrobat

(Se denna länk)

Nu ser det lite trevligare ut när man klickar på underskriften i PDF-dokumentet..

valid_001

Några exempel

Här ett exempel på en blankett som preparerats så att den kan undertecknas med vanliga Adobe Reader:

1) Alla certifikat är valbara för underskrift (Inte så bra eftersom man då kan råka underteckna med certifikat avsett för inloggning)

pdf

2) Listar endast certifikat med KeyUsage=Oavvislighet (40)

pdf

3) Samma blankett fast redan undertecknad av två personer

pdf

Den första exempelblanketten har preparerat med hjälp av Adobe Acrobat 9 Pro och där kan man inte styra beteendet avseende villkor för de certifikat som kan användas för underskrift, t.ex. KeyUsage eller Utfärdare.

Hur skapar man då en PDF som både kan fyllas i, undertecknas och sparas?

A ) Ordbehandlaren

1) Vi börjar i t.ex. Word eller någon annan ordbehandlare

B) Livecycle Desiger

Här bestämmer man vilken lägstaversion som ska gälla för Adobe Reader. Vi rekommenderar 8.0 för att få full funktionalitet..

adobe_ls_versionreq

På detta sätt kan man styra vilka utfärdare som den som ska underteckna måste ha certifikat ifrån.

adobe_ls_issuers_2_swe

Fliken ”Underskriftsinformation” ger möjlighet att:
a) Inkludera men inte kräva att resultatet av spärrkontroll via CRL eller OCSP bäddas in i PDF-filen
b) Styra så att endast certifikat med KeyUsage=Oavvislighet (40) är möjliga att underteckna med (valbara i Readern)

adobe_ls_keyusage_2_swe

Man kan även ange sökvägen till en tjänst för tidsstämplig. Många tidsstämplingstjänster kräver dock avtal, dock ej den nedan visade.

adobe_ls_timestamp_swe

Lås efter underskrift? Man bör överväga att låsa PDF-filen efter att underskriften gjorts. Glöm inte att upplysa om att man inte bör ändra efter att underskriften gjorts.

adobe_ls_lock

adobe_ls_lock_info

Nu är vi klara med prepareringen i Adobe Livecycle Designer och går över till Adobe Acrobat XX
C) Adobe Acrobat X
Ovan har vi justerat en del PKI-specifika villkor för att kunna underteckna på ett bra sätt. Det som kvarstår är att säkerställa att:

Det ska räcka att ha Adobe Reader för att kunna spara information som man fyllt i för att kunna öppna filen och fortsätta ifyllandet senaree
Det ska räcka att ha Adobe Reader för att kunna underteckna och spara filen. Man ska alltså INTE behöva någon slags specialplugin för att kunna underteckna PDF-filer som saknar rätt förutsättningar för att skrivas under elektroniskt. Det är förvisso inget fel på dylika specialpluginer och de har ett existensberättigande men varför inte göra enklast möjliga så att Adobe Reader räcker?
Att filen har formatet PDF/A så att mottagande myndighet kan långtidsarkivera filen i enlighet med Riksarkivets föreskrifter

Glömmer man detta får man denna trista dialog:

extendedfeatures_001_without

D) Adobe reader
PDF/AA
PDF/A is an ISO-standardized version of the Portable Document Format (PDF) specialized for the digital preservation of electronic documents.

PDF/A differs from PDF by omitting features ill-suited to long-term archiving, such as font linking (as opposed to font embedding). (Similarly, the PDF/X file format is specially adapted to digital printing and graphic arts.)

The ISO requirements for PDF/A file viewers include color management guidelines, support for embedded fonts, and a user interface for reading embedded annotations.

PDF/A-1 is based on the PDF Reference Version 1.4 from Adobe Systems Inc. (implemented in Adobe Acrobat 5 and latest versions) and is defined by ISO 19005-1:2005, an ISO Standard that was published on October 1, 2005

PDF/A-2 is based on ISO 32000-1 – PDF 1.7 and is defined by ISO 19005-2:2011, published on June 20, 2011. PDF/A-2 is a very recent standard and is not widely used.

See full article on Wikipedia:
http://en.wikipedia.org/wiki/PDF/A

Vad har Riksarkivet att säga om detta?

Massor! För det första förordas PDF/A som lite förenklat kan sägas vara en väldigt ”platt” version av en PDF-fil. Dvs. helt utan script och inbäddade historier som på lång sikt kan göra det svårare att läsa informationen.

Publikationer från Riksarkivet

http://www.riksarkivet.se/default.aspx?id=17522&refid=4032

http://www.riksarkivet.se/Sve/Dokumentarkiv/Filer/RA-FS%202009-2.pdf

http://www.riksarkivet.se/Sve/Publikationer/Filer/elektroniskt-underskrivna-handlingar.pdf

http://www.riksarkivet.se/Sve/Dokumentarkiv/Filer/E-handlingsrapport.pdf

http://www.riksarkivet.se/Sve/Dokumentarkiv/Filer/pdf-a-07-08-10.pdf