PDF Tools Logo
Tech corner

PAdES - PDF erweiterte elektronische Unterschrift

Feb 21 2023, Updated Dec 18 2024

Was ist PAdES? Was hat das mit PDF zu tun? Was kann PAdES tun? Auf all diese Fragen gibt es detaillierte Antworten im Internet. Dieser Artikel soll einen kurzen Überblick als kleinen Leitfaden im Dschungel der Begriffe geben.

Das Konzept der digitalen Signaturen wurde in PDF <b>1,3</b> eingeführt und in späteren Versionen verfeinert. Der PAdES-Standard für fortgeschrittene elektronische Signaturen (PDF Advanced Electronic Signature) wurde von ETSI (European Telecommunication Standards Institute) veröffentlicht und wird in ISO-32'000-2 erwähnt. Es basiert auf dem Konzept der digitalen Signaturen in PDF und beschreibt eine Reihe von Profilen, die diese Signaturen konform zu den europäischen eIDAS-Vorschriften machen, die seit Juli 2014 in allen EU-Mitgliedstaaten rechtlich bindend sind.

Hier ist ein kurzer Überblick über eIDAS und PAdES

  • ETSI TS 102 778: "Alte" technische Norm (TS) für PDF-Signaturen. Auch genannt "Legacy PAdES".

  • ETSI TS 103 172: "Neuere" technische Norm (TS) für PDF-Signaturen. Dieser Standard wird durch die eIDAS-Verordnung erwähnt.

  • ETSI EN 319 122-1: Standard für CAdES-Signaturen, die im Wesentlichen CMS (PKCS #7)-Signaturen mit einigen Erweiterungen sind. Dieser Standard wird nicht für PDF verwendet.

  • ETSI EN 319 142-1: Teil 1 ist die neue europäische Norm (EN) für PDF-Signaturen. Es basiert auf CAdES, ist aber sehr eingeschränkt, sodass die Standards nicht viel gemeinsam haben. Definiert die Basis-Signaturniveaus B-B, B-T, B-LT und B-LTA (siehe unten).

  • ETSI EN 319 142-2: Teil 2 definiert zusätzliche Signaturprofile, insbesondere PAdES-CMS, das auch Legacy PAdES und andere Formate von ISO 32000-1 umfasst.

  • ETSI TR 119 100: Beschreibt, wie die Signaturstandards (für CAdES, XAdES und PAdES) verwendet werden. Auch, wie die Gültigkeit alter Signaturen verlängert werden kann.

  • ISO 14533-3: Langzeit-Signaturprofile für PDF Advanced Electronic Signatures (PAdES). Dieser Standard wird von PDF/A-4 erwähnt.

Die Entscheidung 2015/1506/EU der eIDAS-Verordnung (Verordnung (EU) Nr. 910/2014) bezieht sich weiterhin auf die vorherige Legacy-PAdES-Basissignaturnorm ETSI TS 103 172.


Die Basissignaturniveaus:

  • B-B: Definiert ein Niveau für kurzfristige elektronische Signaturen. Muss eine elektronische Signatur und das Signierungszertifikat enthalten.

  • B-T: Wie B-B, aber mit einem Zeitstempel, der beweist, dass die Signatur zu einem bestimmten Datum und einer bestimmten Uhrzeit existierte.

  • B-LT: Wie B-T, fügt aber VRI-Daten in den DSS ein, wie OCSP-Antworten oder CRLs und alle Zertifikate der Vertrauenskette vom Benutzerdatenzertifikat bis zum Root-CA-Zertifikat. Dieses Niveau ermöglicht, dass eine Dokumenten-Signatur selbst nach längerer Zeit validiert werden kann, wenn die Signierungsumgebung (z. B. Signierungs-CA) nicht mehr verfügbar ist. Das B-LT-Level wird empfohlen für Fortgeschrittene elektronische Signaturen.

  • B-LTA: Wie B-LT, fügt aber einen Dokumenten-Zeitstempel und VRI-Daten für die TSA in den DSS ein. Ein B-LTA-Level kann helfen, die Signatur über jedes Ereignis hinaus zu validieren, das ihre Gültigkeit einschränken könnte. Dieses Niveau wird empfohlen für Qualifizierte elektronische Signaturen.

Arten von elektronischen Signaturen:

  • Einfache elektronische Signatur: Daten in elektronischer Form, die an andere Daten in elektronischer Form angehängt oder logisch mit diesen verbunden sind und die vom Unterzeichner zum Signieren verwendet werden.

  • Fortgeschrittene elektronische Signatur: Der Unterzeichner kann eindeutig identifiziert und mit der Signatur verknüpft werden. Der Unterzeichner muss die alleinige Kontrolle über die zur Erstellung der elektronischen Signatur verwendeten Signaturdaten (typischerweise einen privaten Schlüssel) haben. Die Signatur muss in der Lage sein zu identifizieren, ob ihre Begleitdaten nach der Unterzeichnung der Nachricht verändert wurden. Falls die Begleitdaten geändert wurden, muss die Signatur ungültig gemacht werden.

  • Qualifizierte elektronische Signatur (QES): Der Dienstanbieter muss für die erstellten Zertifikate ein gültiges Datum und eine gültige Uhrzeit bereitstellen. Signaturen mit abgelaufenen Zertifikaten müssen sofort widerrufen werden. Das Personal des qualifizierten Vertrauensdiensteanbieters muss angemessen geschult sein. Die von dem Dienstanbieter verwendete Software und Hardware muss vertrauenswürdig sein und in der Lage sein, Fälschungen von Zertifikaten zu verhindern

Und schließlich einige Abkürzungen:

  • CA: Zertifizierungsstelle

  • CMS: Kryptographische Nachrichtensyntax

  • LCR: Zertifikatsperrliste

  • OCSP: Online-Zertifizierungsstatusprotokoll

  • PKCS: Standards für die Kryptographie mit öffentlichem Schlüssel (z. B. PKCS #7)

  • TSA: Zeitstempelbehörde

  • VRI:Überprüfungsbezogene Informationen (z. B. OCSP, LCR)

  • DSS: Dokumentensicherheitsstore (PDF)

  • XAdES: XML-fortgeschrittene elektronische Signatur

Wir haben den neuen PAdES-Standard in unserer Software implementiert, sodass digitale Signaturen in PDF in Anwendungen, die den europäischen eIDAS-Vorschriften entsprechen müssen, einfach erstellt, aktualisiert und verifiziert werden können. Diese Implementierung erzeugt Signaturen, die allen genannten PAdES-Standards entsprechen, ohne dass eine spezielle Konfiguration erforderlich ist. Das macht die Verwendung des Tools einfach, da es kein detailliertes Wissen darüber erfordert, welcher Standard verwendet werden soll.

Validation & Repair
PDF Security
ProduktvariantenAPI
ProduktvariantenShell-Tool (Befehlszeile)
ProduktvariantenGesehener Ordner (nur Windows)

Gefällt Ihnen, was Sie sehen? Teilen Sie es mit einem Freund.

Teilen auf LinkedInTeilen auf TwitterTeilen auf Facebook

Grüezi! Wie können wir helfen?

Phone