Gezocht: ervaring met digitale ondertekening PDF files

donderdag 2 juli 2015 14:05

Acties:

Breathing security

Topicstarter

Hi,

I.v.m. een issue op het werk ben ik opzoek naar naar personen die professionele / zakelijke ervaring hebben met het digitaal ondertekenen van PDF files middels Adobe certificaten.

Ondertekening gaat in bulk met netwerkcryptomodules.

Omdat het een lopend issue is wil ik alle details nog niet op het forum plaatsen maar ik zoek wel iemand die misschien even wat ervaringen kan delen. Ben wel voornemens achteraf hier een samenvatting te plaatsen zodat anderen er ook wat aan hebben.

~ Information security professional & enthousiast ~ EC Twitter ~

donderdag 2 juli 2015 23:40

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Eagle Creek schreef op donderdag 02 juli 2015 @ 14:05:
Ben wel voornemens achteraf hier een samenvatting te plaatsen zodat anderen er ook wat aan hebben.

Volgens mij is het voor de discussie hier veel zinvoller, dat je begint met het plaatsen van de samenvatting van hoe jij eea wil gaan implementeren. Vervolgens kun je dan wel om eventuele verbeterpunten gaan vragen?

Je stelt nu nl. een ontzettend globlale vraag, zonder ook maar iets te vertellen van je eigen omgeving. Het beantwoorden van je vraag is dan ook eigenlijk niet te doen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 3 juli 2015 11:58

Acties:

Equator

Crew Council

#whisky #barista

Eagle Creek schreef op donderdag 02 juli 2015 @ 14:05:
Hi,

I.v.m. een issue op het werk ben ik opzoek naar naar personen die professionele / zakelijke ervaring hebben met het digitaal ondertekenen van PDF files middels Adobe certificaten.

Ja, toevallig wel. Niets dan problemen als je gebruik maakt van certificaten op een cryptocard. Met lokale soft certificates geen probleem.

Ondertekening gaat in bulk met netwerkcryptomodules.

Omdat het een lopend issue is wil ik alle details nog niet op het forum plaatsen maar ik zoek wel iemand die misschien even wat ervaringen kan delen. Ben wel voornemens achteraf hier een samenvatting te plaatsen zodat anderen er ook wat aan hebben.

Maar goed, het topic loopt niet echt storm. Misschien komt dat omdat je geen "probleem" beschrijft. Ik wil best accepteren dat je niet 100% transparant kunt zijn, maar iets moet je toch kunnen beschrijven.

Tja, en als je dat dan niet gaat doen, dan zie ik verder weinig toegevoegde waarde aan dit topic.Dus aan jou de kans..
Overigens kan het zijn dat Windows Clients een betere plaats is voor dit topic.

[ Voor 4% gewijzigd door Equator op 03-07-2015 12:00 ]

vrijdag 3 juli 2015 12:32

Acties:

Eagle Creek

Breathing security

Topicstarter

Hey heren (neem ik aan),

Snap dat de OP hierin wat vaag is maar dat is bewust.

Het punt is niet dat ik zozeer tegen één probleem aanloop maar tegen een woud van problemen. Het is dus niet één technisch vinkje. Ik zoek daarom juist naar personen met ervaring in het proces (en wil even over de ervaring bomen) en niet zozeer een specifieke technische issue.

Maar om hem op verzoek dan toch wat concreter te maken:

Het feit dat de intermediate cert van de leverancier en het root cert van Adobe zich standaard niet in de cert store van Windows en Mac OS X, noch die van Adobe Reader bevinden. M.a.w: hoe verwacht men dat je dan een valide chain of trust kunt opzetten?

Daarnaast kom ik quirks in Adobe tegen die vraagt of je de certificate store wilt updaten maar als je dit annuleert komt die vraag nooit meer terug tot je Adobe opnieuw installeert. M.a.w: dan dit je dus zonder.

Dat laatste lijkt wel meer een technisch issue overigens maar is denk ik niet per se de kern van het probleem.

~ Information security professional & enthousiast ~ EC Twitter ~

vrijdag 3 juli 2015 22:26

Acties:

Equator

Crew Council

#whisky #barista

Maar wat is dan het doel van het digitaal ondertekenen van een PDF document? Als je het met derden wilt delen is het natuurlijk verstandiger om een certificaat te gebruiken van een leverancier welke wordt geaccepteerd door de grote besturingssystemen.

Ik heb persoonlijke ervaringen met het digitaal ondertekenen met een certificaat vanuit de PKI-overheid op een justitie pas. De root en alle intermediate certificaten moeten dan op de cliënt beschikbaar zijn om de validiteit te controleren. Dat kan niet als je een niet vertrouwd certificaat (root of intermediate) gebruikt waardoor het gehele ondertekenen nutteloos is geworden.

Wat wil je verder bereiken met het ondertekenen? Hoe belangrijk is het digitaal ondertekenen voor het gebruik?

zaterdag 4 juli 2015 17:34

Acties:

Eagle Creek

Breathing security

Topicstarter

is het natuurlijk verstandiger om een certificaat te gebruiken van een leverancier welke wordt geaccepteerd door de grote besturingssystemen.

Dat is juist het hele issue.
Het Adobe Root-certificaat komt niet voor in de Windows of Mac OS X store.
(noch in die van de mobiele OS'en, edoch de mobiele PDF-readers vaak toch al niet verifiëren)

Sterker nog: zelfs van de twee intermediate certs komt er vaak maar één voor en in het andere geval geen.

En dat is dus mijn verbazing. Mijn vraag gaat dus niet zozeer om de techniek maar om de ervaring met Adobe-certificaten, hoe anderen dit hebben ervaren en al dan niet geaccepteerd.

[ Voor 28% gewijzigd door Eagle Creek op 04-07-2015 17:37 ]

~ Information security professional & enthousiast ~ EC Twitter ~

zaterdag 4 juli 2015 18:10

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik heb zakelijk alleen een proof of concept gedaan, tijden geleden.

Begrijp ik goed dat je niet met door jullie aangeschafte certificaten werkt maar met generieke (of self signed)? Dan is tekenen vrij zinloos, me dunkt. Tenminste als je wilt dat derden (dus buiten jullie directe controle) de docs moeten vertrouwen. Acrobat gaat er vziw standaard van uit dat de ander eerst het certificaat importeert. Of dat een certificaat van https://helpx.adobe.com/acrobat/kb/approved-trust-list1.html wordt gebruikt.

--
Let ook op dat oude en nieuwe Reader versies AFAIK vwb versleuteling niet helemaal compatible zijn (AFAIK vereisen nieuwe > N bits versleuteling, oude < M bits waar M lager is dan N)..

Offtopic:

Equator schreef op vrijdag 03 juli 2015 @ 11:58:Overigens kan het zijn dat Windows Clients een betere plaats is voor dit topic.

Aangezien Adobe geen Windows besturingssystemen levert: nietes

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 5 juli 2015 21:50

Acties:

Eagle Creek

Breathing security

Topicstarter

Begrijp ik goed dat je niet met door jullie aangeschafte certificaten werkt maar met generieke (of self signed)?

Nee, met de aangeschafte certificaten.

De basis van certificaten en PKI is mij duidelijk, no worries.

Of dat een certificaat van https://helpx.adobe.com/acrobat/kb/approved-trust-list1.html wordt gebruikt.

De leverancier is er een van die lijst.

~ Information security professional & enthousiast ~ EC Twitter ~

zondag 5 juli 2015 21:54

Acties:

begintmeta

Moderator General Chat

Is het dan noodzakelijk uit te komen op een root-certificaat van Adobe?

maandag 6 juli 2015 10:59

Acties:

Eagle Creek

Breathing security

Topicstarter

Hoe bedoel je die vraag

?
Het is de betreffende root CA die wij via onze leverancier geleverd krijgen.

En ik vermoed (afgaande van de naam) dat meer onderleveranciers bij Adobe uitkomen.

~ Information security professional & enthousiast ~ EC Twitter ~

maandag 6 juli 2015 11:36

Acties:

Equator

Crew Council

#whisky #barista

Eagle Creek schreef op zaterdag 04 juli 2015 @ 17:34:
[...]

Dat is juist het hele issue.
Het Adobe Root-certificaat komt niet voor in de Windows of Mac OS X store.
(noch in die van de mobiele OS'en, edoch de mobiele PDF-readers vaak toch al niet verifiëren)

Sterker nog: zelfs van de twee intermediate certs komt er vaak maar één voor en in het andere geval geen.

En dat is dus mijn verbazing. Mijn vraag gaat dus niet zozeer om de techniek maar om de ervaring met Adobe-certificaten, hoe anderen dit hebben ervaren en al dan niet geaccepteerd.

Dan heb je daar dus je antwoord. Als jij een PDF digitaal wilt ondertekenen en dat document moet buiten je organisatie geverifieerd kunnen worden, zal je dus een certificaat moeten gebruiken welke afkomstig is van een Intermediate CA en Root CA welke door de ontvangers geaccepteerd wordt.

Gebruik je het alleen intern, op zelf managed devices kan je er ook voor zorgen dat alle ontvangers (clients) de juiste Root CA en Intermediate CA's vertrouwen.

Adobe Acrobat Reader kent op het Windows platform een eigen trusted CA lijst, maar kan ook gebruik maken van de Windows Certificate Store zodat je ook andere CA's kunt ondersteunen. Hoe dit op andere platformen is geregeld durf ik niet te zeggen.

Dus, is je probleem nu dat een PDF ondertekend met een certificaat wel vertrouwd wordt op het ene Client platform en niet op het andere?

[ Voor 5% gewijzigd door Equator op 06-07-2015 11:38 ]

maandag 6 juli 2015 12:01

Acties:

Eagle Creek

Breathing security

Topicstarter

Dan heb je daar dus je antwoord.

Uhm.. waar dan?

Ik koop via een leverancier op de lijst van Adobe een certificaat.
Dit certificaat is getekend door de Adobe Root CA.

Zowel intermediate als root CA komen niet voor in de Adobe reader store, noch in de Windows of Mac OS X store.

;-)

~ Information security professional & enthousiast ~ EC Twitter ~

maandag 6 juli 2015 18:43

Acties:

Gomez12

Eagle Creek schreef op maandag 06 juli 2015 @ 12:01:
[...]

Uhm.. waar dan?

Ik koop via een leverancier op de lijst van Adobe een certificaat.
Dit certificaat is getekend door de Adobe Root CA.

Zowel intermediate als root CA komen niet voor in de Adobe reader store, noch in de Windows of Mac OS X store.

;-)

Maar is dit de enige certificaat vorm die die leverancier biedt? Of biedt die er meer?

Want ik vermoed dat je gewoon de verkeerde vorm hebt gekozen (namelijk eentje die niet algemeen toepasbaar is, maar bijv enkel binnen het eigen bedrijf oid).

Heel simpel gesteld heb je simpelweg een certificaat nodig van een algemeen erkende root-CA en dat heb je nu niet. Dan kan je of terug naar je leverancier omdat die je het verkeerde geleverd heeft, of je moet terug naar je leverancier om een andere te bestellen omdat je zelf het verkeerde besteld hebt.

dinsdag 7 juli 2015 00:01

Acties:

Eagle Creek

Breathing security

Topicstarter

Bedankt voor je reactie.

Feit is dat ik nog steeds iemand zoek die dit reeds heeft geïmplementeerd want neem aub van mij aan dat er geen willekeurig intern certificaat is besteld :).

~ Information security professional & enthousiast ~ EC Twitter ~

dinsdag 7 juli 2015 07:18

Acties:

Equator

Crew Council

#whisky #barista

Gezien het publieke karakter van certificaten, vind je het erg om een linkje van de Root CA en intermediate CA te delen? Want ik ben nu wel erg benieuwd. Je mag ook linken naar een ondertekend PDFje (hoeft geen inhoud te hebben) dan kunnen we iets meer zeggen.

Ik snap dat je een certificeringsinstantie hebt gekozen die door Adobe wordt ondersteund, maar toch denk ik dat je niet gerealiseerd hebt dat de certificeringsinstantie ook door derden vertrouwd moet zijn.

En zoals ik al zei, ik heb zeker ervaring met het gecertificeerd ondertekenen van PDF documenten. Die waren bedoeld om informatie van Politie naar Justitie over te zetten, dus waren deze voorzien van een PKI Overheid certificaat (Root CA, meerdere Intermediates en het daadwerkelijke certificaat) met een ondertekende Time Stamp van een TSA.

zondag 12 juli 2015 20:50

Acties:

Eagle Creek

Breathing security

Topicstarter

Om hem nog even concreet te houden.

Daar waar je bij een website de root ca en intermediate ca's in jouw trust store hebt staan en met het hostcertificaat voldoende hebt, is dat bij PDF niet per se het geval.

De Adobe Root CA staat in de trust store. Maar de intermediate certs moet je zelf meeleveren. Doe je dit niet (bijvoorbeeld omdat jouw applicatie gewoon PKCS11 praat met een HSM-driver en hier geen configuratie voor biedt) dan mis je simpelweg de trust chain.
Afbeeldingslocatie: http://ccff02.minfin.fgov.be/pdfhelper/images/main/certification_not_trusted_nl.png

Afbeeldingslocatie: http://ccff02.minfin.fgov.be/pdfhelper/images/main/certification_not_trusted_nl.png

Dit is an sich niet onlogisch (wat er niet is kun je niet verifiëren) maar het feit dat de certificaten door jou meegeleverd moeten worden was ons niet verteld.

Normaal hoort Adobe te vragen of je deze certificaten wil downloaden.
Afbeeldingslocatie: http://www.imgdumper.nl/uploads8/55a2b64f35224/55a2b64f332ef-pdf.jpg

Afbeeldingslocatie: http://www.imgdumper.nl/uploads8/55a2b64f35224/55a2b64f332ef-pdf.jpg

Om onduidelijke redenen verschijnt deze melding niet altijd (bv als je hem één keer ooit hebt geweigerd) en moet dit sowieso ook gebeuren elke keer dat het document wordt geopend en worden de gedownloade certificaten niet opgeslagen.

Inmiddels zelf de intermediate-certificaten ook omzet als HSM-beschermd bestand en deze wel weten te koppelen aan het oorspronkelijke (end user) certificaat. Lijkt vooralsnog goed te werken

.

~ Information security professional & enthousiast ~ EC Twitter ~

zondag 12 juli 2015 21:04

Acties:

mkleinman

8kWp, WPB, ELGA 6

Welke software gebruik je om te signen? Ik heb op een project gezeten voor het waarmerken, ondertekenen en valideren van PDF documenten. Wij gebruikten daar een third party pakket voor die we hadden geintegreerd in onze eigen frontend. Dat werkte verder prima.

Duurzame nerd. Veel comfort en weinig verbruiken. Zuinig aan doen voor de toekomst.

maandag 13 juli 2015 11:38

Acties:

Eagle Creek

Breathing security

Topicstarter

GMC Inspire Designer.

[ Voor 27% gewijzigd door Eagle Creek op 13-07-2015 11:39 ]

~ Information security professional & enthousiast ~ EC Twitter ~

Onderwerpen