Über digitale Signaturen
In LibreOffice können Dokumente und Makros digital signiert werden.
Zertifikate
Um ein Dokument digital zu signieren, benötigen Sie einen persönlichen Schlüssel, das Zertifikat. Auf Ihrem Computer ist ein persönlicher Schlüssel gespeichert, der eine Kombination aus einem privaten, geheim zu haltenden Schlüssel und einem öffentlichen Schlüssel ist, den Sie den Dokumenten beim Signieren hinzufügen.
Speichern und Signieren des Dokuments
Beim Anfügen einer digitalen Signatur an ein Dokument wird aus dem Inhalt des Dokuments und Ihrem persönlichen Schlüssel eine Art Prüfsumme errechnet. Diese Prüfsumme und Ihr öffentlicher Schlüssel werden gemeinsam mit dem Dokument gespeichert.
Öffnen eines signierten Dokuments
Wenn das Dokument anschließend auf einem beliebigen Computer mit einer neuen Version von LibreOffice geöffnet wird, berechnet das Programm erneut die Prüfsumme und vergleicht sie mit der gespeicherten. Stimmen diese überein, wird dem Benutzer mitgeteilt, dass es sich bei dem angezeigten Dokument um das unveränderte Original handelt. Darüber hinaus kann der öffentliche Schlüssel aus dem Zertifikat angezeigt werden.
Sie können den öffentlichen Schlüssel mit dem auf der Webseite der Zertifizierungsstelle veröffentlichten vergleichen.
Eine Änderung in diesem Dokument verletzt die digitale Signatur. Nach einer Änderung wird das angezeigte Dokument nicht mehr als Original gekennzeichnet.
Das Ergebnis der Signaturüberprüfung wird in der Statuszeile und im Dialog Digitale Signatur angezeigt. Ein ODF-Dokument kann mehrere Dokument- und Makro-Signaturen enthalten. Wenn es mit einer Signatur ein Problem gibt, dann wird das Ergebnis der Gültigkeitsprüfung dieser einen Signatur auch für alle Signaturen unterstellt. Das heißt, dass bei zehn gültigen und einer ungültigen Signatur, in der Statuszeile und im Statusfeld des Dialogs die Signatur als ungültig gekennzeichnet wird.
Wenn Sie ein signiertes Dokument öffnen, sehen Sie eines der folgenden Symbole mit der zugehörigen Meldung.
|
Symbol in der Statusleiste |
Signaturstatus |
|---|---|
|
|
Die Signatur ist gültig. |
|
|
Die Dokumentsignatur ist OK, aber die Zertifikate konnten nicht verifiziert werden. Die Dokumentsignatur und das Zertifikat sind korrekt, aber nicht alle Bestandteile des Dokuments sind signiert. (Siehe unten stehenden Hinweis für Dokumente, die mit alten Versionen der Software signiert wurden.) |
|
|
Die Signatur ist ungültig. |
Signaturen und Softwareversionen
Das Signieren von Inhalten hat sich mit OpenOffice.org 3.2 und StarOffice 9.2 geändert. Jetzt werden alle Dateiinhalte, mit Ausnahme der Unterschriftsdatei selbst (META-INF/documentsignatures.xml) signiert.
Wenn Sie ein Dokument mit OpenOffice.org 3.2 beziehungsweise StarOffice 9.2 oder neuer signieren und Sie das Dokument in einer älteren Version der Software öffnen, wird die Unterschrift als "ungültig" angezeigt. Signaturen, die mit älteren Softwareversionen erzeugt wurden, werden beim Öffnen in einer neueren Version mit "Nicht alle Teile des Dokuments sind signiert" gekennzeichnet.
Wenn Sie ein OOXML Dokument signieren, wird die Signatur immer mit "Nicht alle Teile des Dokuments sind signiert" gekennzeichnet. Um die Kompatibilität mit Microsoft Office zu gewährleisten, werden Metadaten von OOXML Dateien nie signiert.
Wenn Sie ein PDF-Dokument signieren, wird diese Markierung nie verwendet. Eine Signatur, die sich nicht auf das gesamte Dokument bezieht, ist ungültig.
Das Signieren von Dokumenten anderer Formate wird zurzeit nicht unterstützt.
Wenn Sie ein ODF-Dokument laden, sehen Sie möglicherweise ein Symbol in der Statusleiste und das Statusfeld im Dialog, welche Ihnen anzeigen, dass das Dokument nur teilweise signiert ist. Dieser Status wird angezeigt, wenn die Signatur und das Zertifikat gültig sind, sie aber mit OpenOffice.org in einer Version vor 3.2 oder mit StarOffice in einer Version vor 9.2 erstellt wurden. In OpenOffice.org bei Versionen vor 3.0 oder StarOffice bei Versionen vor 9.0 wurde die Dokumentsignatur nur auf die wichtigsten Inhalte, Bilder und eingebetteten Objekte angewendet und einige Inhalte, wie Makros, wurden nicht signiert. Ab OpenOffice.org 3.0 und StarOffice 9.0 wurde die Dokumentsignatur für die meisten Inhalte angewendet, einschließlich Makros. Allerdings wurden der MIME-Typ und der Inhalt der META-INF-Ordner nicht signiert. Und ab OpenOffice.org 3.2 und StarOffice 9.2 sowie für alle Versionen von LibreOffice werden alle Inhalte, außer der Signatur-Datei selbst (META-INF/documentsignatures.xml), unterzeichnet.
Sicherheitswarnungen
Wenn Sie ein signiertes Dokument empfangen und die Software meldet, dass die Signatur gültig ist, so heißt dies nicht mit absoluter Sicherheit, dass das Dokument das gleiche ist, dass der Absender gesendet hat. Signierte Dokumenten mit Software-Zertifikaten sind keine perfekte Sicherheitsmethode. Es gibt verschiedene Möglichkeiten, die Sicherheitsfunktionen zu umgehen.
Beispiel: Stellen Sie sich eine Person vor, die vorgibt, ein Ansprechpartner bei Ihrer Bank zu sein. Die Person kann unter Angabe eines falschen Namens leicht ein Zertifikat erhalten, und Ihnen dann signierte E-Mails senden, in denen er beziehungsweise sie vorgibt, bei Ihrer Bank zu arbeiten. Sie erhalten diese E-Mail und die E-Mail beziehungsweise das darin enthaltene Dokument weist das Symbol für eine gültige Signatur auf.
Vertrauen Sie dem Symbol nicht. Prüfen Sie die Zertifikate, und lassen Sie sie bestätigen.
Die Gültigkeit einer Signatur ist keine rechtlich bindende Garantie.
Unter Windows-Betriebssystemen werden die Funktionen für Windows der Gültigkeitsüberprüfung von Signaturen verwendet. Unter Solaris- und Linux-Systemen werden Dateien verwendet, die von Thunderbird, Mozilla oder Firefox geliefert werden. Sie müssen sicherstellen, dass die auf Ihrem System verwendeten Dateien tatsächlich die Originaldateien sind, die von den Originalherstellern bereitgestellt wurden. Für böswillige Eindringlinge gibt es verschiedene Wege, die Originaldaten durch eigene Dateien zu ersetzen.
Die Meldungen über die Gültigkeit einer Signatur, die in LibreOffice angezeigt werden, sind die Meldungen, dass die Validierungsdateien zurückkehren. LibreOffice hat keine Möglichkeit sicherzustellen, dass die Meldungen den wahren Status eines Zertifikats wiedergeben. LibreOffice zeigt nur die Meldungen an, dass andere Dateien, die nicht unter der Kontrolle des LibreOffice-Berichts liegen. Es gibt keine rechtliche Verpflichtung, dass die von LibreOffice angezeigten Meldungen den wahren Status einer digitalen Signatur wiedergeben.