Kurzinfo

Der SecSigner wurde im Rahmen von den ETSI herausgegebenen Anforderungen an europäische digitale Signaturen angepasst. Dazu zählen die Verarbeitung und Erstellung von Signaturen im CAdES, PAdES und XAdES Format. Diese Formate sind Erweiterungen des CMS-Standards (Cryptographic Message Syntax). Daraus ergibt sich die Unterstützung von Signaturkarten, die elliptische Kurven als Signaturalgorithmus nutzen (ECC) sowie der Vorschlag in Signaturen PSS-Padding zu nutzen. PSS-Padding bzw. RSAPSS-Padding soll das unsicherere und ältere Format PKCS1-Padding v1.5 ablösen.

Die Trustcenter, die in Deutschland qualifizierte Zertifikate erstellen, bieten ihren Kunden Signaturkarten an, die entweder das RSA-Verfahren oder das ECC-Verfahren nutzen. Signaturkarten der Telesec sowie der neue Personalausweis nutzen das ECC-Verfahren, Signaturkarten der anderen Trustcenter das RSA-Verfahren.

Das sichere RSA-PSS-Padding wird für qualifizierte Signaturen mit dem RSA-Algorithmus seit 2008 vom BSI empfohlen. Bis Ende 2017 war die Verwendung des älteren und schwächeren Verfahrens PKCS#1 v1.5 für qualifizierte Signaturen gemäß Algorithmenkatalog des BSI übergangsweise noch erlaubt. Nach dem europäischen SOG-IS Algorithmenkatalog ist das ältere Verfahren noch bis Ende 2020 erlaubt, jedoch nicht empfohlen.
Vorsicht: Der Beweiswert solcher Signaturen bleibt sowohl gemäß letztem Algorithmenkatalog des BSI als auch gemäß des SOG-IS-Algorithmenkatalog nur bis Ende 2020 erhalten.
Der SecSigner erstellt daher Signaturen mit dem sicheren RSA-PSS-Padding.

Für die Signatur von PDF-Dokumenten nutzt der SecSigner das PAdES-Format. Der Acrobat Reader der Firma Adobe unterstützt dieses Format offenbar. Er versteht anscheinend jedoch weder ECC-Signaturen noch solche mit RSA-PSS-Padding. Sollte der Acrobat Reader bei der Prüfung von Signaturen, die vom SecSigner erstellt wurden, Fehler anzeigen, liegt das somit oft an fehlenden Fähigkeiten des Acrobat Readers. Auskünfte dazu kann nur der Hersteller Adobe geben.

Fehlermeldungen bei Signaturvalidierung mit Adobe Acrobat oder Adobe Reader DC

Betrachtet man ein digital signiertes PDF-Dokument in Adobe Acrobat bzw. Adobe Reader DC kommt es zu folgenden Problemen und Fehlern, wenn die in das PDF-Dokument eingebettete Signatur entweder mit ECC als Signaturalgoritmus erstellt wurde oder bei Verwendung des PSS-Padding bei RSA als Signaturalgorithmus.

ECC als Signaturalgorithmus (Elliptische-Kurven-Kryptografie)

Bei Verwendung von ECC als Signaturalgorithmus (genauer ECDSA) in digitalen Signaturen kommt es
in den Anzeigeprogrammen von Adobe bei der Prüfung der Signatur zum Fehler:

Interner kryptografischer Bibliotheksfehler. Fehlercode: 0x2711 Bzw. Interner kryptografischer Bibliotheksfehler. Fehlercode: 0x20C

Weitere in diesem Zusammenhang auftretenden Fehler sind:

• Interner kryptografischer Bibliotheksfehler. Fehlercode: 0x2726
• Internal cryptographic library error. Error Code: 0x2711
• Internal cryptographic library error. Error Code: 0x20C

RSAPSS-Padding

Bei der Verwendung von PSS-Padding bzw. RSAPSS-Padding in digitalen Signaturen prüft Adobe Acrobat die Signatur als ungültig. Der Grund, warum die Signatur als ungültig geprüft wurde, ist eine angeblich unbekannte Formatierung bzw. Format der im PDF-Dokument eingebetteten Signatur.

Der genaue Wortlaut: Die Formatierung oder in dieser Unterschrift enthaltene Information weisen Fehler auf.

Dieses unbekannte Format ist gerade das verwendete PSS-Padding. Uns liegt leider keine Aussage von Adobe vor, inwieweit und wann PSS-Padding in den Komponenten von Adobe unterstützt werden soll.

Das PSS-Padding wird bereits seit Anfang der 2000er Jahre als das zu verwendende bezeichnet und soll das unsicherere PKCS#1 v1.5 Padding-Format ablösen.

Siehe dazu RFC 3447 (RSA Cryptography Specifications Version 2.1) von 2003.

Download des signierten Beispieldokuments

Weitere Diskussionen zum Thema „Fehler bei Unterschriftsprüfung. Bei der Prüfung ist ein Fehler aufgetreten: Interner kryptografischer Bibliotheksfehler“

• https://forums.adobe.com/message/3305286#3305286
• https://forums.adobe.com/message/2635350#2635350
• https://forums.adobe.com/message/3040431#3040431
• https://forums.adobe.com/thread/2107060#2107060