Dokumentation von Documenso — Teil 2: Gültigkeit der Unterschrift

TLDR; Signaturen können für verschiedene Signaturniveaus gültig und konform sein, auch wenn einige Validatoren höhere Fehler anzeigen. Nicht alle hilfreichen Sicherheitsmaßnahmen sind gesetzlich vorgeschrieben.

Eine gültige Frage

Vor ein paar Tagen stellte ein früher Anwender diese Frage in unserem [Discord](https://documen.so/discord):

Sie können den Validator hier überprüfen: https://documen.so/eu-validator

Für diejenigen, die mit dem Tool nicht vertraut sind, verwendete er das Validierungstool des digitalen Signaturdienstes (DSS) der EU, um die Signatur eines mit Documenso signierten Dokuments zu überprüfen. Die EU stellt dieses Tool zur Verfügung, um Nutzern und Anbietern zu helfen, das Gültigkeitsniveau ihrer Signaturen zu überprüfen.

Eine kurze Auffrischung von Dokumentation Documenso – Teil 1: Zertifikate:

Documenso fügt alle visuellen Signaturen in das Dokument ein und versiegelt es dann mit dem Firmenzertifikat von "Documenso Inc.". Dies macht das resultierende PDF-Dokument manipulationssicher und garantiert, dass es seit der Unterzeichnung nicht verändert wurde.

Bevor wir darauf eingehen, ob das Dokument korrekt signiert wurde, müssen wir verstehen, was das Ziel war.

Es gibt drei Signaturniveaus in der europäischen eIDAS-Verordnung:

1. Einfach elektronische Signaturen (Level 1/ SES): Das ist nur eine visuelle Signatur oder sogar ein Kontrollkästchen auf einem Dokument.

2. Erweiterte elektronische Signaturen (Level 2/ AES): Eine tatsächliche kryptografische Signatur (nicht nur ein Siegel auf dem gesamten Dokument, sondern eine spezifische Signatur), die mit einem Zertifikat verknüpft ist, das mit den Identifikationsdaten des Unterzeichners verbunden ist.

3. Qualifizierte elektronische Signaturen (Level 3/ QES): Wie 2, aber durch eine staatlich zertifizierte Stelle auf zertifizierter Hardware und nach Identifizierung des Unterzeichners mit einem offiziellen Ausweisdokument (z. B. Reisepass)

💡 Hinweis: Nummer 2 (AES) ist das, was sich die meisten Menschen unter digitalen Signaturen vorstellen. Aber die meisten Anbieter nutzen 1. plus ein Siegel auf dem gesamten Dokument im Namen des unterzeichnenden Anbieters (z. B. Documenso). Die Daten des Unterzeichners werden nur visuell eingefügt, nicht in der tatsächlichen Signatur. Warum? Ein Grund ist, dass es viel einfacher ist, und ohne ein leicht verfügbares Open-Source-Framework, auf das man zurückgreifen kann, ist es ziemlich schwierig, einen solchen Aufbau zu erstellen. Das ist etwas, was wir anstreben, und was viele bereits gemacht haben, und wir möchten es Open Source machen (was noch niemand getan hat).

Aus der Perspektive von eIDAS bietet Documenso Level 1/ SES-Signaturen an, da es nicht alle Anforderungen von Level 2/ AES erfüllt. Das bedeutet, dass es technisch gesehen keine gesetzliche Notwendigkeit gibt, das Dokument zu versiegeln, um dieses Gültigkeitsniveau zu erreichen (zumindest innerhalb von eIDAS). Wir tun es trotzdem, da es das Vertrauen der Anwender in das signierte Dokument erhöht. Das Versiegeln des Dokuments, auch wenn es gesetzlich nicht erforderlich ist, ist ein großartiges Beispiel für den Ansatz von Documenso bezüglich Signaturen. Zuerst streben wir an, alle gesetzlichen Anforderungen für einen bestimmten Anwendungsfall zu erfüllen. Dann fügen wir jeglichen Schutz hinzu, der ohne unnötige Schwierigkeiten bei der Erstellung der Signatur hinzugefügt werden kann.

Nicht ob gültig, sondern wie gültig

F: Ist die Signatur im Bild gültig?

A: Ja, als eidas Level 1 SES.

F: Warum steht dann "Konnte keine Zertifikatkette bis zu einer vertrauenswürdigen Liste aufbauen"

A: Das Zertifikat, das wir verwenden, um das Dokument nach dem Einfügen der Signaturen zu versiegeln, befindet sich nicht auf der EU-Vertrauenskette.

F: Bedeutet das, dass es weniger sicher ist?

A: Nein, das bedeutet, dass der Anbieter (Wisekey) nicht auf einer von der EU geführten Liste steht. Die kryptografische Signatur ist so stark wie jede andere.

Für jemanden, der sich nicht täglich mit dieser Materie beschäftigt, kann dies schwer zu verstehen sein. Ob Sie ein Zertifikat verwenden, das Sie selbst generiert haben, eines, das von einer Zertifizierungsstelle (CA) wie Wisekey generiert wurde, oder eines von einem anderen Anbieter auf der EU-Vertrauenskette (z. B. Bundesdruckerei), die kryptografische Sicherheit, die garantiert, dass das Dokument nicht manipuliert wurde, ist immer dieselbe. Viele Anbieter wie Documenso, DocuSign, PandaDoc und Digisigner verwenden alle diese Methode für ihre regulären Pläne. Das bedeutet, wenn Sie ein Dokument, das von ihnen signiert wurde, durch den obigen Validator laufen lassen würden, wäre das Ergebnis dasselbe[1]. Die interessante Frage ist, warum? Warum macht man es so?

Zertifikatsinfrastruktur ist kaputt

Obwohl es einige tatsächliche Kosten gibt, die mit der Bereitstellung von AES und QES verbunden sind, ist die nüchterne Realität, dass es einfach ein gutes Geschäft ist, für sie pro Signatur zu berechnen, was sie für die "Standardangebote" unerschwinglich macht; fast niemand hat die Ressourcen, dies selbst einzurichten. Während dieser anfängliche Prozess, eine QES-zertifizierte Stelle zu werden, wirklich teuer ist, ist der Verkauf der Zertifikate danach sehr lukrativ. Das führt zu weniger Innovation in diesem Bereich und nur große Akteure bieten diese hochkonformen Dienstleistungen an. Selbst Zertifikate, die nur zum Versiegeln von Dokumenten verwendet werden, ohne QES-zertifiziert zu sein, werden zu einem großen Preisspektrum verkauft, und sie kosten nahezu nichts in der Produktion.

Warum denn?

F: Warum kaufen Menschen ein Zertifikat für Geld und generieren nicht einfach eines selbst? Ist die kryptografische Sicherheit nicht dieselbe?

A: Selbstgenerierte Zertifikate werden für Signaturen mit höherem Konformitätsgrad wie QES nicht anerkannt.

F: Wenn Sie keine höherwertigen Signaturen benötigen, könnten Sie dann nicht einfach selbst eines erstellen?

A: Ja, das könnten Sie. Da eIDAS Level 1 kein Zertifikat erfordert, könnten Sie Ihr eigenes verwenden.

F: Warum tun mehr Leute das nicht?

A: Ein Grund ist, dass es abgesehen von der EU-Vertrauenskette noch andere gibt, wie die Adobe-Vertrauenskette. Diese ist zwar nicht gesetzlich vorgeschrieben, aber wenn man darauf (wie Wisekey) ist, erhält man ein grünes Häkchen in Adobe PDF, was die meisten Menschen zur Überprüfung der Signaturgültigkeit verwenden.

F: Keine Frage, aber das alles klingt seltsam

A: Das tut es. Dies ist einer der Gründe, warum Documenso existiert. Wir planen, dies einfacher zu machen.

F: Wie?

A: Indem wir erklären und leicht zu bedienende Werkzeuge bereitstellen und schließlich kostenlose, hochkonforme Signaturzertifikate für alle anbieten.

Schließlich planen wir, eine kostenlose Zertifizierungsstelle namens Let's Sign zu starten, benannt nach einer anderen Institution, die das kostenpflichtige Zertifikat-Paradigma zum Nutzen des Internets gebrochen hat: Let's Encrypt.

Wie immer, zögern Sie nicht, mich auf Twitter / X oder Discord zu kontaktieren, wenn Sie Fragen oder Anmerkungen haben.

Beste Grüße aus Hamburg,

Timur

[1] Das Signaturformat (z.B. PKCS7-B) kann variieren. Es ist das Format, das die in das Dokument eingefügte Signatur hat. eIDAS selbst verlangt nicht spezifisch ein bestimmtes Format, aber das von der EU definierte PAdES wird überwiegend von europäischen Anbietern verwendet.