Auf Grund gesetzlicher Vorschriften müssen Dokumente unterschiedlich lang archiviert werden. Dies gilt auch für digitale Dokumente, einschließlich der sich auf dem Dokument befindlichen digitalen Unterschriften.
Ob die Signatur valide, also gültig ist, sollte auch nach Jahren – vorzugsweise auch ohne Verbindung zum Internet – nachvollziehbar sein. Die Lösung ist, die Validierungsdaten direkt in das Dokument einzubetten. Somit gelingt der Nachweis, dass die Signatur zum Signaturzeitpunkt gültig war.
Was ist eine LTV-Signatur?
Die Voraussetzung für den Nachweis einer gültigen Validierung ist, dass bestimmte Normen eingehalten werden. Um diese Normierung kümmert sich ETSI (European Telekommunications Standards Institute). ETSI hat für die Signaturformate verschiedener Dokumentenarten die Standards PAdES2, CAdES3 und XAdES4 [1] entwickelt. Diese Profile tragen dem Umstand Rechnung, dass digital signierte Dokumente oft viele Jahre archiviert werden und es zu jedem Zeitpunkt in der Zukunft möglich sein muss, die Signatur des Dokuments zu prüfen. Dieses Konzept nennt man Long-Term Validation (LTV).
Welche Informationen müssen für die langfristige Unterschriftenprüfung vorhanden sein?
- War das verwendete Endbenutzer-Zertifikat zum Zeitpunkt seiner Verwendung gültig?
- War die ausstellende CA (Certificate Authority) dieses Zertifikates zum Zeitpunkt der Erstellung des Endbenutzerzertifikates vertrauenswürdig und das Wurzelzertifikat gültig?
- Welche Qualitätsstufe hatte das verwendete Zertifikat? Einfach, fortgeschritten oder qualifiziert?
Um diese Fragen vertrauenswürdig beantworten zu können, führt eine Validierungsanwendung wie Sign Live! mehrere Prüfungen durch. Ein wichtiger Aspekt dieser Prüfung sind dabei Sperrprüfungen mittels OCSP (Online Certificate Status Protocol) – d.h. Abfragen bei dem Vertrauensdiensteanbieter (VDA), der das verwendete Endbenutzerzertifikat ausgegeben hat.
Damit diese OCSP-Abfragen durchgeführt werden können, muss dieser Dienst vom VDA online (Verzeichnisdienst) zur Verfügung gestellt werden. Die Antworten des VDA sind wiederum von diesem signiert, damit die Vertrauenswürdigkeit geprüft und somit sichergestellt werden kann. Dies erfolgt dann wiederum unter Einbeziehung von OCSP-Abfragen. Wie dies in vollem Umfang zu erfolgen hat, ist durch internationale Standards (ETSI) geregelt. Am Ende dieser Abfragen kann dann die Validierungsanwendung einen vertrauenswürdigen Status des verwendeten Endbenutzer-Zertifikates liefern.
Was ist aber, wenn der notwendige Verzeichnisdienst zeitweise oder dauerhaft nicht zur Verfügung steht?
Eine zeitweise Störung kann vorliegen, wenn der benötigte Verzeichnisdienst einfach nicht online erreichbar ist. Oder was, wenn dieser durch Einstellung des VDA abgeschaltet wurde?
Auch die zentrale Löschung von Informationen nach Ablauf von Aufbewahrungsfristen stellt einen Einschnitt dar. Das verwendete Endbenutzerzertifikat kann in solchen Fällen nicht geprüft werden und damit führt auch die komplette Signaturprüfung zu keinem eindeutigen Ergebnis.
Die Vorteile der LTV Signatur
Anders bei LTV-Signaturen. Bei dieser Art der Signatur werden alle benötigten Informationen, wieder nach internationalen Standards (ETSI), in die Signatur eingebettet. Im Falle von PDF-Dokumenten und -signaturen ist dies zum Beispiel durch den PAdES-Standard (ETSI EN 319 142) im Kontext des PAdES-B-LT-Profils technisch geregelt.
Die Einbettung der notwendigen Informationen kann sowohl bei der Signaturerstellung als auch später bei einer Validierung erfolgen. Dass dies bei der Signaturerstellung erfolgt, ist jedoch selten, da zu der benötigten Zeit zur Signaturerstellung auch noch die für die Prüfung kommt. So bietet sich die Anreicherung zur LTV-Signatur bei der Validierung vor der Archivierung geradezu an. Ab diesem Zeitpunkt wird die Signatur immer offline geprüft und erfolgt ohne Zugriff auf den Verzeichnisdienst. Eine Prüfung wird also von der Erreichbarkeit dieses Dienstes, egal aus welchem Grunde er nicht zur Verfügung steht, unabhängig.
Leistet die LTV-Signatur noch mehr?
Wie die Gültigkeit von Zertifikaten geprüft wird, erfolgt nach unterschiedlichen Modellen (Ketten-, Schalen- oder modifizierte Schalenmodell). Diese unterschiedlichen Modelle sind für die unterschiedlichen Verwendungen von Zertifikaten auch durchaus sinnvoll. Die Gültigkeit eines SSL-Zertifikates sollte im Browser anders geprüft werden als ein Zertifikat, welches für die Signatur von Dokumenten verwendet wurde, die über Jahrzehnte hinaus prüfbar sein müssen.
Nehmen wir einmal den Adobe Reader als Beispiel. Adobe Reader wird eine Signatur nach Ablauf des verwendeten Endbenutzerzertifikates nicht mehr als vertrauenswürdig einstufen, auch wenn die Signatur noch während des Gültigkeitszeitraumes erfolgt ist.
Dieses Verhalten kann durch die LTV-Signatur geheilt werden, wenn die LTV-Signatur vor dem Ablaufdatum erfolgt. Mit der rechtzeitigen LTV-Signatur bleibt der Haken des Adobe Reader grün und die Signatur wird weiterhin positiv geprüft – und dies dauerhaft. Dies ist ein wichtiger Schritt auf dem Weg zu mehr Akzeptanz der Signatur.
Nachhaltigkeit (unter)schreibt man digital!
Das Whitepaper für alle, die New Work leben.
[1]
PAdES (engl.: PDF Advanced Electronic Signatures) für PDF-Dokumente
CAdES (engl.: CMS Advanced Electronic Signatures) für CMS-Dokumente
XAdES (engl.: XML Advanced Electronic Signatures) für XML-Dokumente