Mit Hilfe einer digitalen Signatur lässt sich Integrität (Unverändertheit) und Authentizität (verbindliche Zuordnung der Nachricht zu einer Person) erreichen. Der Verifikation einer digitalen Signatur kommt damit eine entscheidende Bedeutung zu. Sie muss den Empfänger von der Integrität und der Authentizität des Absenders überzeugen und dieses beweisbar protokollieren. Gerade im Bereich der Langzeitarchivierung kommt diesem Punkt besondere Bedeutung zu.
Welche Informationen enthält eine Signatur? Die Signatur enthält Informationen über den Unterzeichner, den Zeitpunkt der Signatur und weitere kryptographische Daten (u.a. den Hashwert), die gewährleisten, dass weder Basisdokument noch Signatur unbemerkt verändert wurden. Zusätzlich beinhaltet die Signatur zusätzlich Zertifikate, die zur Verifizierung benötigt werden.
Was ist ein Zertifikat? Ein Zertifikat ist ein elektronisches Dokument, das den Bezug zwischen einer Person und der von ihr erstellten kryptographischen Informationen herstellt. Das Zertifikat des Unterzeichners wird für die Verifizierung der qualifizierten elektronischen Signatur benötigt. Eine übergeordnete Instanz, ein Zertifizierungsdiensteanbieter (Trustcenter), hat vorab die Identitätsprüfung dieses Unterzeichners festgestellt und dies durch digitales Signieren seines Zertifikats belegt. Das dafür nötige Zertifikat des Anbieters wiederum wurde vorab von der Bundesnetzagentur (vormals Regulierungsbehörde für Telekommunikation und Post) unterzeichnet, die das so genannte "Wurzelzertifikat" als Ursprung dieser Zertifizierungskette innehält.
Was passiert bei der Verifizierung qualifizierter elektronischer Signaturen? Die Verifikationssoftware führt verschiedene Prüfungen durch. Zunächst wird der ursprüngliche Hashwert auf Änderungen überprüft um sicherzustellen, dass die signierten Daten nicht geändert wurden. Auch der Zeitpunkt der Signaturerstellung wird auf Plausibilität geprüft. So ist eine Signatur in der Zukunft nicht möglich. Außerdem wird die Zertifizierungskette verifiziert, d.h. die korrekte Verbindung zwischen dem Zertifikat des Unterzeichners bis zum Wurzelzertifikat des Trustcenters.. Ist diese Kette unterbrochen oder nicht auf das Wurzelzertifikat zurückzuführen, erfolgt eine Fehlermeldung.
Wie werden qualifizierte elektronische Zertifikate überprüft? Um das Zertifikat eines Unterzeichners verifizieren zu können, benötigt man alle Zertifikate bis hin zum Wurzelzertifikat. Ziel der Verifizierung des Zertifikats ist der Nachweis, dass dieses selbst und insbesondere die Identität des Unterzeichners nicht verändert wurden. So können Sie sicher sein, von wem Sie ein Dokument mit qualifizierter elektronischer Signatur erhalten haben.
Warum wird die Gültigkeit des Zertifikats überprüft? Theoretisch wäre es möglich, dass der zur Verschlüsselung genutzte private Schlüssel bekannt wird. Dies könnte z.B. durch Hacker geschehen oder wenn die eingesetzten Smartcards gestohlen würden. So könnten Unbefugte Dokumente im fremden Namen unterzeichnen. Um hier eine Absicherung zu schaffen, wurde ein Sperrdienst (CLR/OSCP) für unsicher gewordene Zertifikate eingerichtet. Mit der eingerichteten Onlineverbindung werden diese Sperrlisten gegen geprüft. Die Verifizierung ist nicht erfolgreich wenn:
das Dokument verändert wurde. Jede Änderung am Dokument wie z.B. bereits die Entfernung von Leerzeichen oder unsichtbarer Zeichen ergibt eine ungültige Signatur;
die Signaturdatei bei der Übertragung beschädigt wurde, z.B. bei einer externen Signaturdatei;
das genutzte Zertifikat von einem unbekannten Zertifizierungsdiensteanbieter stammt;
Alle Stammzertifikate und Zertifikate von Zwischenzertifizierungsstellen deutscher und internationaler Trustcenter müssen für eine erfolgreiche Verifikation vorhanden sein;
Das Zertifikat beim zuständigen Trustcenter gesperrt wurde, der verwendete Algorithmus als unsicher eingestuft wurde oder die Internetverbindung gestört ist.
Bei der Verifikation der elektronischen Signatur wir Überprüft:
Ist die Datei signiert?
War das Signaturzertifikat zum Zeitpunkt der Signatur gültig?
Ist das Dokument seit Anbringung der Signatur verändert worden?
Ist die Zertifikatskette gültig?
Ist der verwendete Hash-Algorithmus noch sicher?
Umfassende, serverbasierte Auswertung der Signaturinformationen in elektronischen Dokumenten
Unsere Lösung AutoVerifier überprüft automatisiert alle signierten Dateien und erstellt ein Verifikationsprotokoll nach eIDAS, TR-ESOR und ERV-Gesetz und ermöglicht eine umfassende, serverbasierte Auswertung der Signaturinformationen in PDF- Dokumenten und für sonstige Dokumententypen jeglichen Formats insbesondere XML und PKCS#7 bzw. S/MIME. AutoVerifier realisiert einen Durchsatz von mehr als 1000 Verifikationen pro Stunde, wobei sämtliche Anforderungen deutscher und europäischer Signaturgesetze erfüllt werden.
Die gewonnenen Signaturinformationen können direkt in Workflow- oder DMS- Systemen weiterverarbeitet werden, um Dritte über den Dokumentenstatus zu informieren. Bei der Verifikation der Signaturen können Zertifikate und Sperrlisten (CRLs) gegen akkreditiere Trustcenter oder firmeninterne PKI´s geprüft werden.
Mit AutoVerifier haben Sie die Möglichkeit, PDF- und andere Dokumente automatisch "On-the-Fly" oder im Batchbetrieb zu prüfen. AutoVerifier wird auf einem zentralen Server installiert und bietet damit eine zentrale Signaturprüfinstanz. Er ist im Rechenzentrum als Dienst verfügbar und lässt sich per Management-Konsole aus dem LAN steuern und über Web-Interface konfigurieren:
durch den parallelen Einsatz mehrerer Verifikations-Threads erhöht sich der Durchsatz bei der Verifikation erheblich
Stapelbildung bei gleichartigen Signaturen beschleunigt die Verifikation um ein Vielfaches (bis zu 3600 Signaturen/Stunde)
für den Einsatz in Rechenzentren geeignet
fernwartbar über Management-Konsole
integriertes Web-Interface zur Konfiguration per Webbrowser
erweiterte Optionen zur Erstellung von Verifikationsprotokollen, z. B. in PDF-Containern
Ausführliche Informationen finden Sie hier
Flyer herunterladen!
Warum AutoVerifier?
Beweiskräftige Vorlage vor Gericht durch Verifikationsprotokolle
Überprüfung von Mehrfachsignaturen in PDF-Dokumenten
Einbindung der Prüfergebnisse in die Scan-Metadaten nach TR-RESISCAN
Verifikation von eSiegel-Signaturen
Prüfung qualifizierter und fortgeschrittener Signaturen auf Gültigkeit
Archiveingangsprüfung nach TR-ESOR
Zur Anbindung an einen bestehenden SMTP-Versandprozess kann zusätzlich das SMTP-Add-on eingesetzt werden. Es handelt sich dabei um einen transparenten E-Mail-Proxy, der E-Mails entgegennimmt, alle Anlagen dieser E-Mails verifiziert und diese dann an den eigentlichen Empfänger weitersendet. Die Verifikationsprotokolle werden zusätzlich in einem Verzeichnis abgelegt, damit sie intern zur Verfügung stehen. Der Verifikationsserver ist auch per Webservice erreichbar. Es wird eine asynchrone und eine synchrone SOAP-Schnittstelle zur Verfügung gestellt. Der Verifikationsserver übernimmt die signierten Dateien per SOAP-Call entgegen, verifiziert diese und liefert das Verifikationsprotokoll unter gleichem Namen zurück. Optional kann das Tool IsSigned eingesetzt werden. Es sortiert unter Linux eingehende Mails nach signierten und unsignierten Anhängen.
Mehr Zeit für das Wesentliche
Lesen Sie in unserer Success Story, wie setzt die AOK Bremen/Bremerhaven auf eine innovative Lösung zur rechtssicheren Digitalisierung und Langzeitarchivierung von sensiblen Dokumenten.
Mehr Zeit für das Wesentliche
Lesen Sie in unserer Success Story, wie setzt die AOK Bremen/Bremerhaven auf eine innovative Lösung zur rechtssicheren Digitalisierung und Langzeitarchivierung von sensiblen Dokumenten.
Unsere Referenzen
"Wir haben das FP Konzept mit dem Bundesversicherungsamt besprochen und gefragt, ob das in Ordnung sei. Wenn man in einem derartig sensiblen Bereich arbeitet, will man keine Fehler machen, denn das kann teuer werden."
