Planen von Einstellungen für digitale Signaturen für Office 2010

 

Gilt für: Office 2010

Letztes Änderungsdatum des Themas: 2015-03-09

Dokumente können mithilfe von Microsoft Excel 2010, Microsoft PowerPoint 2010 und Microsoft Word 2010 digital signiert werden. Darüber hinaus können Sie mithilfe von Excel 2010, Microsoft InfoPath 2010 und Word 2010 eine Signaturzeile oder einen Signaturstempel hinzufügen. Microsoft Office 2010 unterstützt XAdES (XML Advanced Electronic Signatures). Hierbei handelt es sich um Erweiterungen für den XML-DSig-Standard, der in 2007 Microsoft Office System erstmalig unterstützt wurde.

Inhalt dieses Artikels:

  • Was ist eine digitale Signatur?

  • Digitales Zertifikat: Selbstsigniert oder von Zertifizierungsstellen ausgestellt

  • Verwenden von digitalen Signaturen

Was ist eine digitale Signatur?

Die Gründe dafür, ein Dokument digital zu signieren, sind im Prinzip die gleichen, aus denen Sie eine handschriftliche Unterschrift unter ein Papierdokument setzen. Eine digitale Signatur dient dazu, mithilfe von Kryptografiealgorithmen die Identität des Erstellers von digitalen Informationen – z. B. Dokumenten, E-Mails und Makros – zu authentifizieren.

Digitale Signaturen beruhen auf digitalen Zertifikaten. Digitale Zertifikate werden als Identitätsbestätigung von einem vertrauenswürdigen Drittanbieter ausgestellt, der auch als Zertifizierungsstelle (Certification Authority, CA) bezeichnet wird. Der Ablauf ist vergleichbar mit gedruckten Ausweisdokumenten. Beispielsweise stellt ein vertrauenswürdiger Drittanbieter wie eine Behörde oder ein Arbeitgeber Ausweisdokumente aus, z. B. Führerscheine, Pässe und Mitarbeiterausweise. Andere Personen verlassen sich darauf, dass der Ausweisträger tatsächlich die besagte Person ist.

Der Zweck von digitalen Signaturen

Digitale Signaturen unterstützen die Bestätigung der folgenden Authentifizierungsmerkmale:

  • Echtheit   Die digitale Signatur und das zugrunde liegende digitale Zertifikat helfen dabei, sicherzustellen, dass der Signierer tatsächlich die Person ist, als die er oder sie sich ausgibt. So wird verhindert, dass andere Personen vorgeben, der Verfasser eines bestimmten Dokuments zu sein (was der Fälschung eines gedruckten Dokuments entsprechen würde).

  • Integrität   Durch die digitale Signatur wird sichergestellt, dass der Inhalt seit der Erstellung der digitalen Signatur nicht geändert oder manipuliert wurde. Dies trägt dazu bei, zu verhindern, dass Dokumente abgefangen und ohne Wissen des Absenders geändert werden.

  • Nichtabstreitbarkeit   Die digitale Signatur dient als Nachweis des Ursprungs der signierten Inhalte für alle Beteiligten. Als Nichtanerkennung wird der Vorgang bezeichnet, dass der Signierer jede Verbindung zum signierten Inhalt abstreitet. Die digitale Signatur hilft nachzuweisen, dass der Absender des Dokuments tatsächlich der Absender ist und niemand anders, ungeachtet der Behauptungen des Signierers. Ein Signierer kann die Signatur auf einem Dokument nicht leugnen, ohne seinen digitalen Schlüssel und alle anderen Dokumente zu leugnen, die mit diesem Schlüssel signiert wurden.

Anforderungen für digitale Signaturen

Der Inhalt muss von der erstellenden Person durch Erstellen einer Signatur, die die folgenden Kriterien erfüllt, digital signiert werden:

  • Die digitale Signatur ist gültig. Eine Zertifizierungsstelle, die vom Betriebssystem als vertrauenswürdig erkannt wird, muss das digitale Zertifikat signieren, auf dem die digitale Signatur basiert.

  • Das Zertifikat, das der digitalen Signatur zugeordnet ist, ist nicht abgelaufen oder enthält einen Zeitstempel, der bestätigt, dass das Zertifikat zum Zeitpunkt der Signierung gültig war.

  • Das Zertifikat, das der digitalen Signatur zugeordnet ist, ist nicht gesperrt.

  • Die signierende Person oder Organisation (der so genannte Herausgeber) gilt für den Empfänger als vertrauenswürdig.

In Word 2010, Excel 2010 und PowerPoint 2010 werden diese Kriterien automatisch überprüft. Bei einem Verdacht wird eine Warnung angezeigt, dass möglicherweise ein Problem mit der digitalen Signatur vorliegt. Informationen zu problematischen Zertifikaten können einfach im Zertifikataufgabenbereich angezeigt werden, der in der Office 2010-Anwendung eingeblendet wird. Office 2010-Anwendungen bieten die Möglichkeit, einem Dokument mehrere digitale Signaturen hinzuzufügen.

Digitale Signaturen in der Geschäftsumgebung

Im folgenden Szenario wird die Verwendung der digitalen Signierung von Dokumenten in einer Geschäftsumgebung veranschaulicht:

  1. Eine Mitarbeiterin erstellt in Excel 2010 eine Spesenabrechnung. Anschließend erstellt sie drei Signaturzeilen: eine für sich, eine für ihre Vorgesetzte und eine für die Buchhaltungsabteilung. Diese Zeilen geben an, dass die Mitarbeiterin der Absender des Dokuments ist und dass bei der Übermittlung an die Vorgesetzte und die Buchhaltungsabteilung keine Änderungen am Dokument vorgenommen werden können. Zudem dienen sie als Nachweis, dass sowohl die Vorgesetzte als auch die Buchhaltungsabteilung das Dokument empfangen und geprüft haben.

  2. Die Vorgesetzte erhält das Dokument und fügt dem Dokument ihre digitale Signatur hinzu, um zu bestätigen, dass sie es überprüft und genehmigt hat. Anschließend leitet sie es zur Bezahlung an die Buchhaltungsabteilung weiter.

  3. Ein Mitarbeiter der Buchhaltungsabteilung empfängt das Dokument und signiert es, um den Empfang des Dokuments zu bestätigen.

Dieses Beispiel veranschaulicht, wie einem einzigen Office 2010-Dokument mehrere Signaturen hinzugefügt werden können. Zusätzlich zur digitalen Signatur kann der Signierer des Dokuments auch eine Grafik seiner eigentlichen Signatur hinzufügen oder mit einem Tablet PC tatsächlich eine Signatur in die Signaturzeile im Dokument schreiben. Es gibt auch ein Art Stempelfunktion, die von Abteilungen verwendet werden kann, um anzugeben, dass ein Mitglied einer bestimmten Abteilung das Dokument erhalten hat.

Kompatibilitätsprobleme

In Office 2010 wird wie in 2007 Office System das XML-DSig-Format für digitale Signaturen verwendet. Darüber hinaus wird in Office 2010 auch XAdES (XML Advanced Electronic Signatures) unterstützt. Hierbei handelt es sich um Erweiterungen für XML-DSig mit mehreren Ebenen, die zuverlässigere digitale Signaturen ermöglichen. Weitere Informationen zu den in Office 2010 unterstützten Ebenen von XAdES finden Sie unter Verwenden von digitalen Signaturen weiter unten in diesem Artikel. Weitere Informationen zu den Details von XAdES finden Sie in der Spezifikation für XML Advanced Electronic Signatures (XAdES) (https://go.microsoft.com/fwlink/?linkid=186631\&clcid=0x407).

Sie sollten beachten, dass digitale Signaturen, die in Office 2010 erstellt wurden, mit Microsoft Office-Versionen vor 2007 Office System nicht kompatibel sind. Wenn beispielsweise ein Dokument mit einer Anwendung in Office 2010 oder 2007 Office System signiert und anschließend mit einer Anwendung in Microsoft Office 2003 mit installiertem Office Compatibility Pack geöffnet wird, erhält der Benutzer eine Meldung, dass das Dokument mit einer neueren Version von Microsoft Office signiert wurde und die digitale Signatur verloren geht.

In der folgenden Abbildung ist eine Warnung dargestellt, die besagt, dass die digitale Signatur entfernt wird, wenn das Dokument in einer früheren Version von Office geöffnet wird.

Abbildung 1: Kompatibilitätsprobleme

Wenn XAdES für die digitale Signatur in Office 2010 verwendet wird, wäre außerdem die digitale Signatur nur mit 2007 Office System kompatibel, wenn Sie die Gruppenrichtlinieneinstellung DXAdES-Verweisobjekt nicht in Manifest aufnehmen konfigurieren und auf Deaktiviert festlegen. Weitere Informationen zu den Gruppenrichtlinieneinstellungen für digitale Signaturen finden Sie unter Konfigurieren von digitalen Signaturen weiter unten in diesem Artikel.

Wenn in Office 2010 erstellte digitale Signaturen mit Office 2003 und früheren Versionen kompatibel sein müssen, können Sie die Gruppenrichtlinieneinstellung Vorversions-Formatsignaturen konfigurieren und auf Aktiviert festlegen. Diese Gruppenrichtlinieneinstellung finden Sie unter Benutzerkonfiguration\Administrative Vorlagen\(ADM\ADMX)\Microsoft Office 2010\Signieren. Nachdem Sie diese Einstellung auf Aktiviert festgelegt haben, verwenden die Office 2010-Anwendungen das Office 2003-Binärformat zum Anwenden digitaler Signaturen auf Office 97-2003-Binärdokumente, die in Office 2010 erstellt wurden.

Digitales Zertifikat: Selbstsigniert oder von Zertifizierungsstellen ausgestellt

Digitale Zertifikate können selbstsigniert oder von Zertifizierungsstellen in einer Organisation, z. B. einem Computer unter Windows Server 2008, auf dem die Active Directory-Zertifikatdienste ausgeführt werden, oder von einer öffentlichen Zertifizierungsstelle wie VeriSign oder Thawte ausgestellt werden. Selbstsignierte Zertifikate werden in der Regel von Privatpersonen und kleineren Unternehmen verwendet, die keine Public Key-Infrastruktur (PKI) für ihre Organisation einrichten und kein gewerbliches Zertifikat kaufen möchten.

Der größte Nachteil von selbstsignierten Zertifikaten ist, dass sie nur nützlich sind, wenn Sie Dokumente mit Personen austauschen, die Sie persönlich kennen und die sicher sind, dass Sie der tatsächliche Absender des Dokuments sind. Bei selbstsignierten Zertifikaten gibt es keinen Drittanbieter, der die Echtheit Ihres Zertifikats überprüft. Jeder, der Ihre signierten Dokumente empfängt, muss manuell selbst entscheiden, ob Ihr Zertifikat vertrauenswürdig ist.

Für größere Organisationen sind zwei primäre Methoden zum Beschaffen digitaler Zertifikate verfügbar: Zertifikate, die mithilfe einer Unternehmens-PKI erstellt werden, und gewerbliche Zertifikate. Für Organisationen, die signierte Dokumente nur zwischen Mitarbeitern innerhalb der Organisation austauschen möchten, ist möglicherweise eine Unternehmens-PKI die kostengünstigste Lösung. Für Organisationen, die signierte Dokumente mit Personen außerhalb der Organisation austauschen möchten, sind möglicherweise gewerbliche Zertifikate vorzuziehen.

Mithilfe einer Unternehmens-PKI erstellte Zertifikate

Organisationen haben die Möglichkeit, eine eigene PKI zu erstellen. In diesem Szenario richtet das Unternehmen mindestens eine Zertifizierungsstelle (Certification Authority, CA) ein, die digitale Zertifikate für Computer und Benutzer im Unternehmen erstellen kann. In Verbindung mit dem Active Directory-Verzeichnisdienst kann ein Unternehmen eine umfassende PKI-Lösung erstellen, sodass auf allen vom Unternehmen verwalteten Computern die unternehmensinterne Zertifikatskette installiert ist und Benutzern und Computern automatisch digitale Zertifikate zum Signieren und Verschlüsseln von Dokumenten zugewiesen werden. Auf diese Weise können alle Mitarbeiter in einem Unternehmen digitalen Zertifikaten (und damit gültigen digitalen Signaturen) von anderen Mitarbeitern im selben Unternehmen automatisch vertrauen.

Weitere Informationen finden Sie unter Active Directory-Zertifikatdienste (https://go.microsoft.com/fwlink/?linkid=119113\&clcid=0x407).

Gewerbliche Zertifikate

Gewerbliche Zertifikate werden von einer Firma erworben, die sich auf den Verkauf digitaler Zertifikate spezialisiert hat. Der wichtigste Vorteil gewerblicher Zertifikate besteht darin, dass das Zertifikat der Stammzertifizierungsstelle des gewerblichen Zertifikatanbieters auf Windows-Betriebssystemen automatisch installiert wird, sodass diese Zertifizierungsstellen auf diesen Computern automatisch vertrauenswürdig sind. Im Gegensatz zur unternehmensinternen PKI-Lösung ermöglichen Ihnen gewerbliche Zertifikate den Austausch signierter Dokumente mit Benutzern, die nicht Ihrer Organisation angehören.

Es gibt drei Arten von gewerblichen Zertifikaten:

  • Klasse 1   Zertifikate der Klasse 1 werden für Personen ausgestellt, die eine gültige E-Mail-Adresse nachweisen können. Zertifikate der Klasse 1 eignen sich für digitale Signaturen, Verschlüsselung und die elektronische Zugriffssteuerung bei nicht kommerziellen Transaktionen, für die kein Identitätsnachweis erforderlich ist.

  • Klasse 2   Zertifikate der Klasse 2 werden für Personen und Geräte ausgestellt. Persönliche Zertifikate eignen sich für digitale Signaturen, Verschlüsselung und die elektronische Zugriffssteuerung bei Transaktionen, bei denen ein Identitätsnachweis auf Grundlage von Informationen in der validierenden Datenbank ausreicht. Gerätezertifikate der Klasse 2 eignen sich für die Geräteauthentifizierung, Nachrichten-, Software- und Inhaltsintegrität und die Verschlüsselung zur Sicherung der Vertraulichkeit.

  • Klasse 3   Zertifikate der Klasse 3 werden für Personen, Organisationen, Server, Geräte und Administratoren für Zertifizierungsstellen und Stammzertifizierungsstellen (Root Authorities, RAs) ausgestellt. Persönliche Zertifikate der Klasse 3 eignen sich für digitale Signaturen, Verschlüsselung und die Zugriffssteuerung bei Transaktionen, bei denen ein Identitätsnachweis erforderlich ist. Serverzertifikate der Klasse 3 eignen sich für die Serverauthentifizierung, Nachrichten-, Software- und Inhaltsintegrität und die Verschlüsselung zur Sicherung der Vertraulichkeit.

Weitere Informationen zu gewerblichen Zertifikaten finden Sie unter Digitale ID – Office Marketplace (https://go.microsoft.com/fwlink/?linkid=119114\&clcid=0x407).

Verwenden von digitalen Signaturen

Dokumente können mithilfe von Microsoft Excel 2010, Microsoft PowerPoint 2010 und Microsoft Word 2010 digital signiert werden. Darüber hinaus können Sie mithilfe von Excel 2010, Microsoft InfoPath 2010 und Word 2010 eine Signaturzeile oder einen Signaturstempel hinzufügen. Das digitale Signieren eines Dokuments, das ein digitales Zertifikat, aber keine Signaturzeile und keinen Signaturstempel aufweist, wird als das Erstellen einer nicht sichtbaren digitalen Signatur bezeichnet. Bei beiden Methoden, also sichtbaren und nicht sichtbaren digitalen Signaturen, wird ein digitales Zertifikat zum Signieren des Dokuments verwendet. Der Unterschied bei Verwendung einer sichtbaren digitalen Signaturzeile besteht in der grafischen Darstellung innerhalb des Dokuments. Weitere Informationen zum Hinzufügen einer digitalen Signatur finden Sie unter Hinzufügen oder Entfernen einer digitalen Signatur in Office-Dokumenten (https://go.microsoft.com/fwlink/?linkid=187659\&clcid=0x407).

In Office 2010 werden standardmäßig digitale XAdES-EPES-Signaturen erstellt, unabhängig davon, ob beim Erstellen der digitalen Signatur ein selbstsigniertes Zertifikat oder ein von einer Zertifizierungsstelle signiertes Zertifikat verwendet wird.

In der folgenden Tabellen werden die auf dem XML-DSig-Standard für digitale Signaturen basierenden Ebenen für digitale XAdES-Signaturen, die in Office 2010 verfügbar sind, aufgelistet. Jede Ebene basiert auf der vorherigen Ebene und enthält alle Funktionen der vorherigen Ebenen. Beispielsweise enthält XAdES-X neben den neuen Funktionen auch alle Funktionen von XAdES-EPES, XAdES-T und XAdES-C.

Signaturebene Beschreibung

XAdES-EPES (Base)

Fügt der XML-DSig-Signatur Informationen zum Signaturzertifikat hinzu. Dies ist der Standard für Office 2010-Signaturen.

XAdES-T (Timestamp)

Fügt den XML-DSig- und XAdES-EPES-Abschnitten der Signatur einen Zeitstempel hinzu, was Schutz vor dem Ablaufen von Zertifikaten bietet.

XAdES-C (Complete)

Fügt Referenzen zur Zertifikatskette und Sperrstatusinformationen hinzu.

XAdES-X (Extended)

Fügt dem SignatureValue-Element von XML-DSig einen Zeitstempel hinzu, und die Abschnitte –T und –C der Signatur. Der zusätzliche Zeitstempel schützt die zusätzlichen Daten vor Nichtanerkennung.

XAdES-X-L (Extended Long Term)

Speichert das eigentliche Zertifikat und Zertifikatsperrinformationen zusammen mit der Signatur. Dies ermöglicht die Zertifikatüberprüfung, selbst wenn die Zertifikatserver nicht mehr verfügbar sind.

Zeitstempel für digitale Signaturen

Durch das Hinzufügen eines Zeitstempels zu einer digitalen Signatur bei Office 2010 kann die Lebensdauer einer digitalen Signatur verlängert werden. Wenn z. B. ein gesperrtes Zertifikat zuvor zum Erstellen der digitalen Signatur verwendet wurde, die einen Zeitstempel von einem vertrauenswürdigen Zeitstempelserver enthält, könnte die digitale Signatur weiterhin als gültig betrachtet werden, wenn der Zeitstempel vor dem Sperren des Zertifikats ausgestellt wurde. Sie müssen die folgenden Schritte ausführen, um die Zeitstempelfunktionalität mit digitalen Signaturen zu verwenden:

  • Einrichten eines mit RFC 3161 kompatiblen Zeitstempelservers

  • Eingeben des Speicherorts des Zeitstempelservers im Netzwerk mithilfe der Gruppenrichtlinieneinstellung Namen des Zeitstempelservers angeben

Sie können auch zusätzliche Zeitstempelparameter konfigurieren, indem Sie eine oder mehrere der folgenden Gruppenrichtlinieneinstellungen konfigurieren:

  • Zeitstempel-Hashalgorithmus konfigurieren

  • Timeout für Zeitstempelserver angeben

Wenn Sie Zeitstempel-Hashalgorithmus konfigurieren nicht konfigurieren und aktivieren, wird der Standardwert SHA1 verwendet. Wenn Sie Timeout für Zeitstempelserver angeben nicht konfigurieren und aktivieren, wartet Office 2010 standardmäßig 5 Sekunden auf eine Antwort des Zeitstempelservers auf eine Anforderung.

Konfigurieren von digitalen Signaturen

Neben den Gruppenrichtlinieneinstellungen zum Konfigurieren von Einstellungen im Zusammenhang mit Zeitstempeln gibt es weitere Gruppenrichtlinieneinstellungen zum Konfigurieren, wie digitale Signaturen in einer Organisation konfiguriert und kontrolliert werden. Die Namen und Beschreibungen der Einstellungen werden in der folgenden Tabelle aufgelistet.

Einstellung Beschreibung

OCSP zum Signaturgenerierungs-Zeitpunkt anfordern

Mithilfe dieser Richtlinieneinstellung können Sie bestimmen, ob Office 2010 OCSP-Sperrdaten (Online Certificate Status Protocol) für alle digitalen Zertifikate in einer Kette anfordert, wenn digitale Signaturen generiert werden.

XAdES-Mindeststufe für digitale Signaturgenerierung angeben

Mithilfe dieser Richtlinieneinstellung können Sie eine XAdES-Mindeststufe angeben, die von Office 2010-Anwendungen erfüllt werden muss, damit eine digitale XAdES-Signatur erstellt wird. Wird die XAdES-Mindeststufe nicht erreicht, kann die Office-Anwendung die Signatur nicht erstellen.

XAdES-Teile einer digitalen Signatur überprüfen

Mithilfe dieser Richtlinieneinstellung können Sie angeben, ob die XAdES-Teile einer digitalen Signatur, wenn vorhanden, von Office 2010 überprüft werden, wenn eine digitale Signatur für ein Dokument überprüft wird.

Beim Überprüfen von Signaturen keine abgelaufenen Zertifikate zulassen

Mithilfe dieser Richtlinieneinstellung können Sie konfigurieren, ob Office 2010-Anwendungen abgelaufene digitale Zertifikate beim Überprüfen digitaler Signaturen akzeptieren.

XAdES-Verweisobjekt nicht in Manifest aufnehmen

Mithilfe dieser Richtlinieneinstellung können Sie bestimmen, ob ein XAdES-Verweisobjekt in das Manifest aufgenommen werden soll. Sie müssen diese Einstellung auf Deaktiviert einstellen, wenn 2007 Office System in der Lage sein soll, Office 2010-Signaturen, die XAdES-Inhalt enthalten, zu lesen. Andernfalls werden Signaturen, die XAdES-Inhalt enthalten, von 2007 Office System als ungültig betrachtet.

Hashalgorithmus für digitale Signatur auswählen

Mithilfe dieser Richtlinieneinstellung können Sie den Hashalgorithmus, der von Office 2010-Anwendungen zum Bestätigen digitaler Signaturen verwendet wird, konfigurieren.

Signaturüberprüfungsstufe festlegen

Mithilfe dieser Richtlinieneinstellung können Sie die Überprüfungsstufe, die von Office 2010-Anwendungen beim Überprüfen einer digitalen Signatur verwendet wird, festlegen.

Erforderliche XAdES-Stufe für Signaturgenerierung

Mithilfe dieser Richtlinieneinstellung können Sie eine erforderliche oder erwünschte XAdES-Stufe beim Erstellen einer digitalen Signatur angeben.

Im Folgenden werden zusätzliche Gruppenrichtlinieneinstellungen im Zusammenhang mit digitalen Signaturen aufgelistet:

  • Schlüsselverwendungsfilterung

  • Standardbildverzeichnis festlegen

  • EKU-Filterung

  • Vorversions-Formatsignaturen

  • Office-Signaturanbieter unterdrücken

  • Menüelement für externe Signaturdienste unterdrücken

Weitere Informationen zu den verschiedenen Gruppenrichtlinieneinstellungen finden Sie in den Hilfedateien zu den administrativen Vorlagendateien für Office 2010. Weitere Informationen zu den administrativen Vorlagendateien finden Sie unter Übersicht über Gruppenrichtlinien für Office 2010.

Hinweis

Die neuesten Informationen zu Richtlinieneinstellungen finden Sie in der Microsoft Excel 2010-Arbeitsmappe Office2010GroupPolicyAndOCTSettings_Reference.xls, das im Abschnitt In diesem Download enthaltene Dateien auf der Downloadseite Administrative Vorlagendateien (ADM, ADMX/ADML) für Office 2010 und das Office-Anpassungstool (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x407) verfügbar ist.