Was ist eine langfristige Unterschriftenprüfung?

PAdES (PDF Advanced Electronic Signatures) ist eine technische Spezifikation mit einer Anzahl von Adaptionen und Erweiterungen für PDF und ISO 32000-1 bezüglich fortgeschrittener elektronischer Signaturen. In diesen Spezifikationen wird anerkannt, dass digital unterzeichnete Dokumente möglicherweise auf Jahre und Jahrzehnte archiviert werden. Im Hinblick auf technische Fortschritte und Entwicklungen müssen die Unterschriften auf gegenwärtigen Dokumenten auch zukünftig als gültig erkennbar sein. Hierbei wird von dem Konzept der langfristigen Unterschriftenprüfung (Long-Term Validation – LTV) gesprochen.

Wenn die langfristige Unterschriftenprüfung aktiviert ist, wird der Signierzeitpunkt des Zertifikats erfasst und dem PDF-Dokument hinzugefügt. In den Signaturdetails sehen Sie, ob die langfristige Unterschriftenprüfung aktiviert ist. Das Verifizierungszertifikat verbleibt in der Datei selbst, sodass die Gültigkeit auch noch zu einem späteren Zeitpunkt ermittelt werden kann, unabhängig davon, ob das Zertifikat abgelaufen ist oder widerrufen wurde oder die Zertifizierungsstelle noch besteht. Da der Datensatz im signierten Dokument abgelegt ist, wird es auch durch die Dokumentensignatur authentifiziert, wodurch Fehler und Betrug noch eher verhindert werden können.

Durch die langfristige Unterschriftenprüfung werden die Abhängigkeit von externen Systemen und mögliche zukünftige Komplikationen mit abgelaufenen oder widerrufenen Zertifikaten reduziert. 

Wird die langfristige Unterschriftenprüfung von DocuSign genutzt?

Die E-Signaturen und digitalen Signaturen von DocuSign unterstützen jetzt auch die langfristige Unterschriftenprüfung. Die Validierung von Signaturen zum Zeitpunkt des Signierens wird jedoch von einigen Branchen aufgrund von Standards wie PAdES (PDF Advanced Electronic Signatures) gefordert. DocuSign versiegelt PDF-Dokumente, die von der DocuSign-Plattform heruntergeladen werden, mit einem von Entrust ausgestellten Zertifikat, digital. Wenn PDF-Dokumente mit einem Anzeigeprogramm wie Adobe Reader, das digitale Signaturen validiert, geöffnet werden, wird das Zertifikat des digitalen Siegels validiert. Mit der langfristigen Unterschriftenprüfung wird der Zeitpunkt des Signierens im PDF-Dokument erfasst und das PDF-Anzeigeprogramm bestätigt die Signatur basierend auf den Beweisdaten in der PDF. Da der Signierzeitpunkt im PDF-Dokument selbst erfasst wird, kann Adobe Reader für die Verifizierung diesen Zeitpunkt berücksichtigen. Wenn die Verifizierungszeit nach der Ablaufzeit des Entrust-Zertifikats liegt, kann eine Validierung stattfinden. Zuvor, ohne Unterstützung der langfristigen Unterschriftenprüfung, wurde ein gelber Warnhinweis angezeigt. Das bedeutet jedoch nicht, dass das zugrunde liegende Dokument und die zugehörigen elektronischen Signaturen ungültig sind. Beim erneuten Herunterladen des Dokuments wird eine neue digitale Signatur für das Dokument erstellt. 

Wie stelle ich sicher, dass meine DocuSign-Dokumente gültig sind?

Beim Öffnen einer DocuSign-PDF ohne Unterstützung der langfristigen Unterschriftenprüfung versucht Adobe Reader, das an der Signatur angehängte Zertifikat zu validieren. Wenn das Zertifikat abgelaufen ist, kann Entrust die Gültigkeit der Signatur nicht bestätigen. Adobe Reader zeigt dann einen gelben Warnhinweis mit der Meldung, dass mindestens eine Signatur problematisch ist, an.

Der Hinweis bedeutet nur, dass Acrobat Reader die Gültigkeit des Zertifikats für die Signatur zum Zeitpunkt des Signierens nicht bestätigen kann. DocuSign behält die Gültigkeit von Dokumenten bei, so lange sie in DocuSign sind. Daher ist DocuSign nicht auf die Verifizierung der Signaturzertifikate von Acrobat angewiesen. Wenn Sie PDF-Dokumente von der DocuSign-Plattform herunterladen, werden diese digital mit den von Entrust ausgestellten Zertifikaten signiert. Dadurch werden Dokumente mit einem digitalen Originalitätssiegel versehen. Sollte der Versuch unternommen werden etwas im digital versiegelten PDF-Dokument zu ändern, erkennt das PDF-Anzeigeprogramm (z. B. Adobe Reader oder Nitro PDF), dass das digitale Siegel beschädigt ist und zeigt einen separaten roten Warnhinweis für den Benutzer an.

Lösung

Sollte das Zertifikat, das während des Signierens angewendet wurde, bereits abgelaufen sein, und das Zertifikat unterstützt keine langfristige Unterschriftenprüfung (hauptsächlich bei älteren PDF-Downloads), muss das Dokument erneut bei DocuSign heruntergeladen werden, damit der gelbe Acrobat-Warnhinweis nicht angezeigt wird. Dokumente, die von der Plattform endgültig gelöscht wurden, können nicht erneut heruntergeladen werden.