Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

  • Eagle Creek
  • Registratie: oktober 2002
  • Laatst online: 18-04 20:28

Eagle Creek

Breathing security

Topicstarter
Hi,

I.v.m. een issue op het werk ben ik opzoek naar naar personen die professionele / zakelijke ervaring hebben met het digitaal ondertekenen van PDF files middels Adobe certificaten.

Ondertekening gaat in bulk met netwerkcryptomodules.

Omdat het een lopend issue is wil ik alle details nog niet op het forum plaatsen maar ik zoek wel iemand die misschien even wat ervaringen kan delen. Ben wel voornemens achteraf hier een samenvatting te plaatsen zodat anderen er ook wat aan hebben.

~ Information security professional & enthousiast ~ Nucia ~ EC Twitter ~


  • Question Mark
  • Registratie: mei 2003
  • Laatst online: 19-04 10:50

Question Mark

Moderator SWS/WOS

F7 - Nee - Ja

quote:
Eagle Creek schreef op donderdag 02 juli 2015 @ 14:05:
Ben wel voornemens achteraf hier een samenvatting te plaatsen zodat anderen er ook wat aan hebben.
Volgens mij is het voor de discussie hier veel zinvoller, dat je begint met het plaatsen van de samenvatting van hoe jij eea wil gaan implementeren. Vervolgens kun je dan wel om eventuele verbeterpunten gaan vragen?

Je stelt nu nl. een ontzettend globlale vraag, zonder ook maar iets te vertellen van je eigen omgeving. Het beantwoorden van je vraag is dan ook eigenlijk niet te doen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • 0Henk 'm!

  • Equator
  • Registratie: april 2001
  • Laatst online: 09:14

Equator

Admin Internet & Netwerken

Bowmore & Laphroaig fan

quote:
Eagle Creek schreef op donderdag 02 juli 2015 @ 14:05:
Hi,

I.v.m. een issue op het werk ben ik opzoek naar naar personen die professionele / zakelijke ervaring hebben met het digitaal ondertekenen van PDF files middels Adobe certificaten.
Ja, toevallig wel. Niets dan problemen als je gebruik maakt van certificaten op een cryptocard. Met lokale soft certificates geen probleem.
quote:
Ondertekening gaat in bulk met netwerkcryptomodules.

Omdat het een lopend issue is wil ik alle details nog niet op het forum plaatsen maar ik zoek wel iemand die misschien even wat ervaringen kan delen. Ben wel voornemens achteraf hier een samenvatting te plaatsen zodat anderen er ook wat aan hebben.
Maar goed, het topic loopt niet echt storm. Misschien komt dat omdat je geen "probleem" beschrijft. Ik wil best accepteren dat je niet 100% transparant kunt zijn, maar iets moet je toch kunnen beschrijven.

Tja, en als je dat dan niet gaat doen, dan zie ik verder weinig toegevoegde waarde aan dit topic.Dus aan jou de kans..
Overigens kan het zijn dat Windows Clients een betere plaats is voor dit topic.

Equator wijzigde deze reactie 03-07-2015 12:00 (4%)

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!


Acties:
  • 0Henk 'm!

  • Eagle Creek
  • Registratie: oktober 2002
  • Laatst online: 18-04 20:28

Eagle Creek

Breathing security

Topicstarter
Hey heren (neem ik aan),

Snap dat de OP hierin wat vaag is maar dat is bewust.

Het punt is niet dat ik zozeer tegen één probleem aanloop maar tegen een woud van problemen. Het is dus niet één technisch vinkje. Ik zoek daarom juist naar personen met ervaring in het proces (en wil even over de ervaring bomen) en niet zozeer een specifieke technische issue.

Maar om hem op verzoek dan toch wat concreter te maken:

Het feit dat de intermediate cert van de leverancier en het root cert van Adobe zich standaard niet in de cert store van Windows en Mac OS X, noch die van Adobe Reader bevinden. M.a.w: hoe verwacht men dat je dan een valide chain of trust kunt opzetten?

Daarnaast kom ik quirks in Adobe tegen die vraagt of je de certificate store wilt updaten maar als je dit annuleert komt die vraag nooit meer terug tot je Adobe opnieuw installeert. M.a.w: dan dit je dus zonder.

Dat laatste lijkt wel meer een technisch issue overigens maar is denk ik niet per se de kern van het probleem.

~ Information security professional & enthousiast ~ Nucia ~ EC Twitter ~


Acties:
  • 0Henk 'm!

  • Equator
  • Registratie: april 2001
  • Laatst online: 09:14

Equator

Admin Internet & Netwerken

Bowmore & Laphroaig fan

Maar wat is dan het doel van het digitaal ondertekenen van een PDF document? Als je het met derden wilt delen is het natuurlijk verstandiger om een certificaat te gebruiken van een leverancier welke wordt geaccepteerd door de grote besturingssystemen.

Ik heb persoonlijke ervaringen met het digitaal ondertekenen met een certificaat vanuit de PKI-overheid op een justitie pas. De root en alle intermediate certificaten moeten dan op de cliënt beschikbaar zijn om de validiteit te controleren. Dat kan niet als je een niet vertrouwd certificaat (root of intermediate) gebruikt waardoor het gehele ondertekenen nutteloos is geworden.

Wat wil je verder bereiken met het ondertekenen? Hoe belangrijk is het digitaal ondertekenen voor het gebruik?

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!


  • Eagle Creek
  • Registratie: oktober 2002
  • Laatst online: 18-04 20:28

Eagle Creek

Breathing security

Topicstarter
quote:
is het natuurlijk verstandiger om een certificaat te gebruiken van een leverancier welke wordt geaccepteerd door de grote besturingssystemen.
Dat is juist het hele issue.
Het Adobe Root-certificaat komt niet voor in de Windows of Mac OS X store.
(noch in die van de mobiele OS'en, edoch de mobiele PDF-readers vaak toch al niet verifiëren)

Sterker nog: zelfs van de twee intermediate certs komt er vaak maar één voor en in het andere geval geen.

En dat is dus mijn verbazing. Mijn vraag gaat dus niet zozeer om de techniek maar om de ervaring met Adobe-certificaten, hoe anderen dit hebben ervaren en al dan niet geaccepteerd.

Eagle Creek wijzigde deze reactie 04-07-2015 17:37 (28%)

~ Information security professional & enthousiast ~ Nucia ~ EC Twitter ~


  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik heb zakelijk alleen een proof of concept gedaan, tijden geleden.

Begrijp ik goed dat je niet met door jullie aangeschafte certificaten werkt maar met generieke (of self signed)? Dan is tekenen vrij zinloos, me dunkt. Tenminste als je wilt dat derden (dus buiten jullie directe controle) de docs moeten vertrouwen. Acrobat gaat er vziw standaard van uit dat de ander eerst het certificaat importeert. Of dat een certificaat van https://helpx.adobe.com/acrobat/kb/approved-trust-list1.html wordt gebruikt.

--
Let ook op dat oude en nieuwe Reader versies AFAIK vwb versleuteling niet helemaal compatible zijn (AFAIK vereisen nieuwe > N bits versleuteling, oude < M bits waar M lager is dan N)..

Offtopic:
quote:
Equator schreef op vrijdag 03 juli 2015 @ 11:58:Overigens kan het zijn dat Windows Clients een betere plaats is voor dit topic.
Aangezien Adobe geen Windows besturingssystemen levert: nietes ;)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0Henk 'm!

  • Eagle Creek
  • Registratie: oktober 2002
  • Laatst online: 18-04 20:28

Eagle Creek

Breathing security

Topicstarter
quote:
Begrijp ik goed dat je niet met door jullie aangeschafte certificaten werkt maar met generieke (of self signed)?
Nee, met de aangeschafte certificaten.

De basis van certificaten en PKI is mij duidelijk, no worries.
quote:
Of dat een certificaat van https://helpx.adobe.com/acrobat/kb/approved-trust-list1.html wordt gebruikt.
De leverancier is er een van die lijst.

~ Information security professional & enthousiast ~ Nucia ~ EC Twitter ~


Acties:
  • 0Henk 'm!

  • begintmeta
  • Registratie: november 2001
  • Niet online
Is het dan noodzakelijk uit te komen op een root-certificaat van Adobe?

Acties:
  • 0Henk 'm!

  • Eagle Creek
  • Registratie: oktober 2002
  • Laatst online: 18-04 20:28

Eagle Creek

Breathing security

Topicstarter
Hoe bedoel je die vraag :)?
Het is de betreffende root CA die wij via onze leverancier geleverd krijgen.

En ik vermoed (afgaande van de naam) dat meer onderleveranciers bij Adobe uitkomen.

~ Information security professional & enthousiast ~ Nucia ~ EC Twitter ~


Acties:
  • 0Henk 'm!

  • Equator
  • Registratie: april 2001
  • Laatst online: 09:14

Equator

Admin Internet & Netwerken

Bowmore & Laphroaig fan

quote:
Eagle Creek schreef op zaterdag 04 juli 2015 @ 17:34:
[...]

Dat is juist het hele issue.
Het Adobe Root-certificaat komt niet voor in de Windows of Mac OS X store.
(noch in die van de mobiele OS'en, edoch de mobiele PDF-readers vaak toch al niet verifiëren)

Sterker nog: zelfs van de twee intermediate certs komt er vaak maar één voor en in het andere geval geen.

En dat is dus mijn verbazing. Mijn vraag gaat dus niet zozeer om de techniek maar om de ervaring met Adobe-certificaten, hoe anderen dit hebben ervaren en al dan niet geaccepteerd.
Dan heb je daar dus je antwoord. Als jij een PDF digitaal wilt ondertekenen en dat document moet buiten je organisatie geverifieerd kunnen worden, zal je dus een certificaat moeten gebruiken welke afkomstig is van een Intermediate CA en Root CA welke door de ontvangers geaccepteerd wordt.

Gebruik je het alleen intern, op zelf managed devices kan je er ook voor zorgen dat alle ontvangers (clients) de juiste Root CA en Intermediate CA's vertrouwen.

Adobe Acrobat Reader kent op het Windows platform een eigen trusted CA lijst, maar kan ook gebruik maken van de Windows Certificate Store zodat je ook andere CA's kunt ondersteunen. Hoe dit op andere platformen is geregeld durf ik niet te zeggen.

Dus, is je probleem nu dat een PDF ondertekend met een certificaat wel vertrouwd wordt op het ene Client platform en niet op het andere?

Equator wijzigde deze reactie 06-07-2015 11:38 (5%)

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!


Acties:
  • 0Henk 'm!

  • Eagle Creek
  • Registratie: oktober 2002
  • Laatst online: 18-04 20:28

Eagle Creek

Breathing security

Topicstarter
quote:
Dan heb je daar dus je antwoord.
Uhm.. waar dan?

Ik koop via een leverancier op de lijst van Adobe een certificaat.
Dit certificaat is getekend door de Adobe Root CA.

Zowel intermediate als root CA komen niet voor in de Adobe reader store, noch in de Windows of Mac OS X store.

;-)

~ Information security professional & enthousiast ~ Nucia ~ EC Twitter ~


Acties:
  • 0Henk 'm!

  • Gomez12
  • Registratie: maart 2001
  • Laatst online: 16:09
quote:
Eagle Creek schreef op maandag 06 juli 2015 @ 12:01:
[...]

Uhm.. waar dan?

Ik koop via een leverancier op de lijst van Adobe een certificaat.
Dit certificaat is getekend door de Adobe Root CA.

Zowel intermediate als root CA komen niet voor in de Adobe reader store, noch in de Windows of Mac OS X store.

;-)
Maar is dit de enige certificaat vorm die die leverancier biedt? Of biedt die er meer?

Want ik vermoed dat je gewoon de verkeerde vorm hebt gekozen (namelijk eentje die niet algemeen toepasbaar is, maar bijv enkel binnen het eigen bedrijf oid).

Heel simpel gesteld heb je simpelweg een certificaat nodig van een algemeen erkende root-CA en dat heb je nu niet. Dan kan je of terug naar je leverancier omdat die je het verkeerde geleverd heeft, of je moet terug naar je leverancier om een andere te bestellen omdat je zelf het verkeerde besteld hebt.

Acties:
  • 0Henk 'm!

  • Eagle Creek
  • Registratie: oktober 2002
  • Laatst online: 18-04 20:28

Eagle Creek

Breathing security

Topicstarter
Bedankt voor je reactie.

Feit is dat ik nog steeds iemand zoek die dit reeds heeft geïmplementeerd want neem aub van mij aan dat er geen willekeurig intern certificaat is besteld :).

~ Information security professional & enthousiast ~ Nucia ~ EC Twitter ~


Acties:
  • 0Henk 'm!

  • Equator
  • Registratie: april 2001
  • Laatst online: 09:14

Equator

Admin Internet & Netwerken

Bowmore & Laphroaig fan

Gezien het publieke karakter van certificaten, vind je het erg om een linkje van de Root CA en intermediate CA te delen? Want ik ben nu wel erg benieuwd. Je mag ook linken naar een ondertekend PDFje (hoeft geen inhoud te hebben) dan kunnen we iets meer zeggen.

Ik snap dat je een certificeringsinstantie hebt gekozen die door Adobe wordt ondersteund, maar toch denk ik dat je niet gerealiseerd hebt dat de certificeringsinstantie ook door derden vertrouwd moet zijn.

En zoals ik al zei, ik heb zeker ervaring met het gecertificeerd ondertekenen van PDF documenten. Die waren bedoeld om informatie van Politie naar Justitie over te zetten, dus waren deze voorzien van een PKI Overheid certificaat (Root CA, meerdere Intermediates en het daadwerkelijke certificaat) met een ondertekende Time Stamp van een TSA.

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!


Acties:
  • 0Henk 'm!

  • Eagle Creek
  • Registratie: oktober 2002
  • Laatst online: 18-04 20:28

Eagle Creek

Breathing security

Topicstarter
Om hem nog even concreet te houden.

Daar waar je bij een website de root ca en intermediate ca's in jouw trust store hebt staan en met het hostcertificaat voldoende hebt, is dat bij PDF niet per se het geval.

De Adobe Root CA staat in de trust store. Maar de intermediate certs moet je zelf meeleveren. Doe je dit niet (bijvoorbeeld omdat jouw applicatie gewoon PKCS11 praat met een HSM-driver en hier geen configuratie voor biedt) dan mis je simpelweg de trust chain.


Dit is an sich niet onlogisch (wat er niet is kun je niet verifiëren) maar het feit dat de certificaten door jou meegeleverd moeten worden was ons niet verteld.

Normaal hoort Adobe te vragen of je deze certificaten wil downloaden.


Om onduidelijke redenen verschijnt deze melding niet altijd (bv als je hem één keer ooit hebt geweigerd) en moet dit sowieso ook gebeuren elke keer dat het document wordt geopend en worden de gedownloade certificaten niet opgeslagen.


Inmiddels zelf de intermediate-certificaten ook omzet als HSM-beschermd bestand en deze wel weten te koppelen aan het oorspronkelijke (end user) certificaat. Lijkt vooralsnog goed te werken :).

~ Information security professional & enthousiast ~ Nucia ~ EC Twitter ~


Acties:
  • 0Henk 'm!

  • mkleinman
  • Registratie: oktober 2001
  • Laatst online: 11:17

mkleinman

4.5kWp, 8.4GJ Zb/CV, WTW, ELGA

Welke software gebruik je om te signen? Ik heb op een project gezeten voor het waarmerken, ondertekenen en valideren van PDF documenten. Wij gebruikten daar een third party pakket voor die we hadden geintegreerd in onze eigen frontend. Dat werkte verder prima.

Duurzame nerd. Veel comfort en weinig verbruiken. Zuinig aan doen voor de toekomst.


  • Eagle Creek
  • Registratie: oktober 2002
  • Laatst online: 18-04 20:28

Eagle Creek

Breathing security

Topicstarter
GMC Inspire Designer.

Eagle Creek wijzigde deze reactie 13-07-2015 11:39 (27%)

~ Information security professional & enthousiast ~ Nucia ~ EC Twitter ~

Pagina: 1


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True