PDF Tools Logo
Tech corner

PAdES - Fortgeschrittene elektronische Signatur im PDF-Format

Feb 21 2023, Updated Jan 27 2025

Was ist PAdES? Was hat das mit PDF zu tun? Was kann PAdES tun? Auf alle diese Fragen gibt es im Internet ausführliche Antworten. Dieser Artikel soll einen kurzen Überblick als kleiner Wegweiser im Begriffsdschungel geben.

Das Konzept der digitalen Signaturen wurde in PDF 1.3 eingeführt und in späteren Versionen verfeinert. Der PDF-Standard für fortgeschrittene elektronische Signaturen (PAdES) wurde vom ETSI (European Telecommunication Standards Institute) veröffentlicht und wird in ISO-32'000-2 erwähnt. Es basiert auf dem digitalen Signaturkonzept von PDF und beschreibt eine Reihe von Profilen, die diese Signaturen konform zu den europäischen eIDAS-Verordnungen machen, die seit Juli 2014 in allen EU-Mitgliedstaaten rechtsverbindlich sind.

Hier ist ein kurzer Überblick über eIDAS und PAdES

  • ETSI TS 102 778: "Alter" technischer Standard (TS) für PDF-Signaturen. Auch "Legacy PAdES" genannt.

  • ETSI TS 103 172: "Neuerer" technischer Standard (TS) für PDF-Signaturen. Auf diesen Standard wird in der eIDAS-Verordnung Bezug genommen.

  • ETSI EN 319 122-1: Standard für CAdES-Signaturen, die im Wesentlichen CMS-Signaturen (PKCS #7) mit einigen Erweiterungen sind. Dieser Standard wird nicht für PDF verwendet.

  • ETSI EN 319 142-1: Teil 1 ist die neue Europäische Norm (EN) für PDF-Signaturen. Sie basiert auf CAdES, ist aber sehr begrenzt, so dass die Standards nicht viel gemeinsam haben. Definiert die Grundliniensignaturstufen B-B, B-T, B-LT und B-LTA (siehe unten).

  • ETSI EN 319 142-2: Teil 2 definiert zusätzliche Signaturprofile, insbesondere PAdES-CMS, das auch Legacy PAdES und andere Formate aus ISO 32000-1 umfasst.

  • ETSI TR 119 100: Beschreibt, wie die Signaturstandards (für CAdES, XAdES und PAdES) zu verwenden sind. Auch, wie die Gültigkeit alter Signaturen verlängert werden kann.

  • ISO 14533-3: Langzeitsignaturprofile für fortgeschrittene elektronische PDF-Signaturen (PAdES). Diese Norm wird mit PDF/A-4 bezeichnet.

Der Beschluss 2015/1506/EU der eIDAS-Verordnung (Verordnung (EU) Nr. 910/2014) bezieht sich noch auf den bisherigen PAdES-Basis-Signaturstandard ETSI TS 103 172.


Das Basissignaturniveau:

  • Grundniveau der elektronischen Signatur: Legt eine Ebene für kurzfristige elektronische Signaturen fest. Muss eine elektronische Signatur und das Unterzeichnungszertifikat enthalten.

  • B-T: Wie B-B, aber mit einem Zeitstempel bzw. einer Zeitmarkierung, die beweist, dass die Signatur zu einem bestimmten Datum und einer bestimmten Uhrzeit existierte.

  • B-LT: Wie B-T, fügt jedoch VRI-Daten zum DSS hinzu, wie OCSP-Antworten oder CRLs und alle Zertifikate der Vertrauenskette, vom Benutzerzertifikat bis zum Root-CA-Zertifikat. Diese Stufe ermöglicht es, dass eine Dokumentensignatur auch dann noch validiert werden kann, wenn die Signierumgebung (z. B. die signierende CA) schon lange nicht mehr verfügbar ist. Die Stufe B-LT wird empfohlen für Fortgeschrittene elektronische Signaturen.

  • B-LTA: Wie B- LT, jedoch mit einem Zeitstempel des Dokuments und VRI-Daten für die TSA an den DSS. Eine B-LTA-Stufe kann dazu beitragen, die Signatur über jedes Ereignis hinaus zu validieren, das ihre Gültigkeit einschränken könnte. Diese Stufe wird empfohlen für Qualifizierte elektronische Signaturen.

Arten von elektronischen Signaturen:

  • Grundstufe der elektronischen Signatur: Daten in elektronischer Form, die an andere Daten in elektronischer Form angehängt oder mit ihnen logisch verbunden sind und die vom Unterzeichner zum Unterschreiben verwendet werden.

  • Fortgeschrittene elektronische Signatur: Der Unterzeichner kann eindeutig identifiziert und mit der Unterschrift verknüpft werden. Der Unterzeichner muss die alleinige Kontrolle über die Signaturerstellungsdaten (in der Regel ein privater Schlüssel) haben, die zur Erstellung der elektronischen Signatur verwendet wurden. Die Signatur muss in der Lage sein zu erkennen, ob die begleitenden Daten nach der Unterzeichnung der Nachricht verfälscht wurden. Falls die begleitenden Daten geändert wurden, muss die Signatur ungültig gemacht werden.

  • Qualifizierte elektronische Signatur (QES): Der Dienstanbieter muss eine gültige Uhrzeit und ein gültiges Datum für erstellte Zertifikate angeben. Signaturen mit abgelaufenen Zertifikaten müssen sofort widerrufen werden. Das Personal des qualifizierten Vertrauensdiensteanbieters muss entsprechend geschult sein. Die vom Diensteanbieter verwendete Software und Hardware muss vertrauenswürdig sein und die Fälschung von Zertifikaten verhindern können.

Und schließlich noch ein paar Abkürzungen:

  • CA: Zertifizierungsstelle

  • CMS: Kryptografische Nachrichten-Syntax

  • GRL: Zertifikatswiderrufsliste

  • OCSP: Online-Zertifikatsstatusprotokoll

  • PKCS: PKCS (z.B. PKCS #7)

  • TSA: Zeitstempelbehörde

  • VRI:Überprüfungsbezogene Informationen (z. B. OCSP, CRL)

  • DSS: Dokumentensicherheitsspeicher (PDF)

  • XAdES: Fortgeschrittene elektronische Signatur von XML

Wir haben den neuen PAdES-Standard in unserer Software implementiert, so dass digitale Signaturen im PDF-Format in Anwendungen, die den europäischen eIDAS-Vorschriften entsprechen müssen, einfach erstellt, aktualisiert und überprüft werden können. Diese Implementierung erzeugt Signaturen, die mit allen genannten PAdES-Standards konform sind, ohne dass eine spezielle Konfiguration erforderlich ist. Dies erleichtert die Verwendung des Tools, da es keine detaillierten Kenntnisse darüber erfordert, welche Norm zu verwenden ist.

Validation & Repair
PDF Security
ProduktvariantenAPI
ProduktvariantenShell tool (command line)
ProduktvariantenWatched folder (Windows only)

Gefällt Ihnen, was Sie sehen? Teilen Sie es mit einem Freund.

Teilen auf LinkedInTeilen auf TwitterTeilen auf Facebook

Grüezi! Wie können wir helfen?

Phone