Qualifizierte Signaturen erklärt

Spec Spec: ETSI EN 319 411-2 ETSI EN 319 411-2 Spec Spec: ETSI EN 319 411-1 ETSI EN 319 411-1 Spec Spec: ETSI EN 319 421 ETSI EN 319 421 Evidence § Standard-backed Evidence: Standard-backed

Auf einen Blick

„Qualifiziert“ ist ein rechtlicher Status nach der EU-eIDAS-Verordnung, keine Eigenschaft, die eine Bibliothek verleihen kann. Mehrere Parteien erfüllen jeweils klar abgegrenzte Aufgaben: ein qualifiziertes Zertifikat, eine qualifizierte Signaturerstellungseinheit, ein qualifizierter Vertrauensdiensteanbieter und veröffentlichte Vertrauenslisten. Diese Seite ordnet diese Rollen zu und benennt klar den eng umrissenen Teil, den NextPDF übernimmt – und die größeren Teile, die es nicht übernimmt.

Warum das wichtig ist

Eine qualified electronic signature hat in ihrem Rechtsraum die rechtliche Wirkung, die ihr das Gesetz zuweist. Genau das macht „qualifiziert“ attraktiv. Genau deshalb ist es auch gefährlich, diesen Status leichtfertig zu behaupten. Angenommen, ein Workflow wird so beschrieben, dass er qualifizierte Signaturen erzeugt, doch eine Rolle in der Kette fehlt – das Zertifikat ist nicht qualifiziert, das Gerät ist keine QSCD, der Anbieter steht auf keiner Vertrauensliste. Dann sind die Signaturen nicht qualifiziert. Diese Lücke tritt meist im folgenreichsten Moment zutage: bei einem Streitfall, einem Audit oder einer grenzüberschreitenden Anerkennungsprüfung.

Die Schwierigkeit besteht darin, dass eine vollkommen gültige fortgeschrittene Signatur und eine qualifizierte Signatur in einem PDF-Viewer identisch aussehen können. Der Unterschied liegt im Zertifikat, im Gerät, im Anbieter und in der Vertrauensliste – keiner dieser Faktoren wird von einer Signatur-Engine bereitgestellt. Entscheidend ist deshalb, genau zu wissen, welche Partei welche Garantie trägt.

Die Kurzfassung

• Qualifiziert ist eine Kette, kein Funktionsmerkmal. Dazu gehören ein qualifiziertes Zertifikat, eine Signatur auf einer QSCD, die Ausstellung durch einen qualifizierten Vertrauensdiensteanbieter und die Auffindbarkeit über Vertrauenslisten. Entfernen Sie auch nur eines davon, und das Ergebnis ist nicht mehr qualifiziert.
• Eine QSCD ist zwingend erforderlich. Nach den Richtlinien für qualifizierte Zertifikate müssen Signaturen ausschließlich von einer qualifizierten Signaturerstellungseinheit erstellt werden. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5
• Die alleinige Kontrolle liegt beim Unterzeichner und im Gerät. Der private Schlüssel muss unter der alleinigen Kontrolle des Unterzeichners stehen und in einem Gerät liegen, das ihn schützt und im Namen des Benutzers signiert. Spec Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5
• NextPDFs Teil ist eng umrissen und ehrlich. Es setzt eine strukturell korrekte PDF-Signatur zusammen und kann einen vertrauenswürdigen Zeitstempel sowie Material für die Langzeitvalidierung einbetten. Es ist keine QSCD, kein (qualifizierter) Vertrauensdiensteanbieter, und es stellt keine Zertifikate aus, betreibt keine Vertrauenslisten und verleiht keinen qualifizierten Status.

Wie NextPDF damit umgeht

Die Rollen klar benannt

Eine qualified electronic signature nach eIDAS entsteht aus voneinander getrennten Verantwortlichkeiten. NextPDF übernimmt genau eine Rolle; die anderen liegen bei Parteien und Standards außerhalb der Engine.

1. Step 1 of 5: eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame
2. Step 2 of 5: ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control
3. Step 3 of 5: ETSI EN 319 412-5 qualified-certificate profile — the QC statements ETSI EN 319 412-5 qualified-certificate profile — the QC statements
4. Step 4 of 5: ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps
5. Step 5 of 5: ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds

Die Kette, die eine qualified electronic signature der Reihe nach durchläuft, und wer jedes Glied innehat: das qualifizierte Zertifikat und die QSCD und der qualifizierte Vertrauensdiensteanbieter und die Vertrauensliste sind nicht die Signatur-Engine — NextPDF setzt nur den PDF-Signaturträger zusammen und kann vertrauenswürdige Zeit und Validierungsmaterial hinzufügen.

• Das qualifizierte Zertifikat. Es wird für den Unterzeichner ausgestellt und trägt die QC-Statements, die es in maschinenlesbarer Form als qualifiziertes Zertifikat für elektronische Signaturen kennzeichnen und den qualifizierten Vertrauensdiensteanbieter ausweisen, der es ausgestellt hat. Spec Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 NextPDF stellt es nicht aus.
• Die QSCD. Eine qualifizierte Signaturerstellungseinheit – in der Terminologie der ETSI ein sicheres kryptografisches Gerät, das den privaten Schlüssel des Benutzers hält, ihn vor Kompromittierung schützt und das Signieren im Namen des Benutzers durchführt. Spec Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 NextPDF ist Software, die über ein solches Gerät signiert; die Engine ist selbst keine QSCD, und ihr Pfad mit Software-Schlüssel ist es ebenso wenig.
• Der qualifizierte Vertrauensdiensteanbieter. Der QTSP stellt das qualifizierte Zertifikat aus und unterliegt selbst der Aufsicht; die Richtlinien verlangen, dass Signaturen unter diesen Zertifikaten ausschließlich von einer QSCD erstellt werden. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 NextPDF ist kein Vertrauensdiensteanbieter.
• Vertrauenslisten. Der veröffentlichte Nachweis, anhand dessen eine vertrauende Partei feststellt, dass der Anbieter und der Dienst qualifiziert waren. NextPDF betreibt Vertrauenslisten nicht und bürgt nicht für sie.

Die eng umrissene Rolle, die NextPDF übernimmt

Innerhalb dieser Kette ist die Aufgabe von NextPDF begrenzt und konkret. Es setzt die PDF-Signatur zusammen: Es platziert das Signaturfeld, berechnet den Byte-Bereich und baut die CMS-SignedData-Struktur, die der Standard für den Contents-Eintrag vorschreibt. Spec Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 Wenn der Signaturschlüssel auf einer QSCD liegt, signiert NextPDF über dieselbe Hardwareschnittstelle, die unter HSM-gestützte Signatur beschrieben ist, und der Schlüssel verbleibt auf dem Gerät.

NextPDF kann außerdem die beiden Bestandteile einbetten, die eine Signatur dauerhaft machen: einen vertrauenswürdigen Zeitstempel von einer Zeitstempelstelle und das Material für die Langzeitvalidierung, das die Signatur überprüfbar hält. Ein Zeitstempel ist der Nachweis einer vertrauenswürdigen dritten Partei, dass ein Datenobjekt vor einem bestimmten Zeitpunkt existierte Spec Spec: RFC 3161, §1 RFC 3161 §1 ; im EU-Rahmenwerk arbeitet diese Stelle unter einer Richtlinie für Vertrauensdiensteanbieter, die Zeitstempel ausstellen. Spec Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF fordert das Token an und bettet es ein. Es betreibt die Zeitstempelstelle nicht, und das Einbetten eines Zeitstempels macht eine Signatur für sich genommen nicht qualifiziert.

Was die Nachweise belegen

Evidence § Standard-backed Evidence: Standard-backed Die QSCD-Anforderung ist ausdrücklich in den Richtlinien für qualifizierte Zertifikate festgelegt: Die Pflichten des Teilnehmers (oder des verwaltenden TSP) verlangen, dass digitale Signaturen ausschließlich von einer QSCD erstellt werden. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 Das Gerät selbst ist als Gerät definiert, das den privaten Schlüssel des Benutzers hält, ihn vor Kompromittierung schützt und das Signieren im Namen des Benutzers durchführt Spec Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 ; für eine natürliche Person muss der private Schlüssel unter der alleinigen Kontrolle des Unterzeichners stehen. Spec Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5 Eine Signaturbibliothek kann keine dieser Pflichten stellvertretend für die übrige Kette erfüllen.

Evidence § Standard-backed Evidence: Standard-backed Was ein Zertifikat qualifiziert macht, ist in den QC-Statements des Zertifikats enthalten, einschließlich eines maschinenlesbaren Hinweises, dass es als qualifiziertes Zertifikat für elektronische Signaturen ausgestellt wurde, sowie Daten, die den qualifizierten Vertrauensdiensteanbieter ausweisen, der es ausgestellt hat. Spec Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 Eine Bibliothek, die ein Zertifikat verarbeitet, um eine Signatur aufzubauen, macht das Zertifikat nicht qualifiziert; das tut der QTSP, der es ausgestellt hat.

Evidence § Standard-backed Evidence: Standard-backed Vertrauenswürdige Zeit hat ihre eigene Anbieterrolle. RFC 3161 definiert eine Zeitstempelstelle als eine vertrauenswürdige dritte Partei, die einen Existenznachweis für ein Datenobjekt zu einem Zeitpunkt erbringt Spec Spec: RFC 3161, §1 RFC 3161 §1 ; ETSI EN 319 421 legt die Richtlinien- und Sicherheitsanforderungen für Vertrauensdiensteanbieter fest, die Zeitstempel ausstellen, die digitale Signaturen unterstützen oder belegen können, dass ein Datenobjekt vor einem bestimmten Zeitpunkt existierte. Spec Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF bettet ein Token von einem solchen Anbieter ein; der qualifizierte Status des Anbieters, sofern vorhanden, ist der des Anbieters, nicht der der Engine.

Human-factors note: Human-factors note

Diese Seite stellt die Kette und die Folgen eines fehlenden Glieds vor jeden Mechanismus, denn in einem Kontext rechtlichen Vertrauens müssen die folgenreichsten Informationen dort stehen, wo man sie nicht übersehen kann. Der Aufbau ist bewusst gewählt: zuerst die Rollen, dann ausdrücklich die eng umrissene Rolle von NextPDF, danach die Standards – sodass ein Leser nach „Die Kurzfassung“ aufhören und bereits wissen kann, welche Garantien die Engine nicht zu geben hat.

Praktisches Beispiel

Es gibt keine API, die „eine Signatur qualifiziert macht“; ein Codebeispiel, das etwas anderes nahelegt, wäre der Fehler. Das nützliche Artefakt hier ist eine Verantwortungscheckliste, die ein Prüfer verwenden kann:

Glied in der Kette	Wer es innehat	NextPDFs Teil
Qualifiziertes Zertifikat wurde ausgestellt	Qualifizierter Vertrauensdiensteanbieter	Verarbeitet es; stellt es nicht aus
Signieren auf einer QSCD	Der Unterzeichner + das Gerät	Signiert darüber; ist keine QSCD
Alleinige Kontrolle über den privaten Schlüssel	Der Unterzeichner + das Gerät	Hält den Schlüssel nie, wenn er auf einer QSCD liegt
Anbieter/Dienst ist qualifiziert	Der QTSP + Aufsicht	Behauptet nichts darüber
Auffindbar über Vertrauenslisten	Betreiber von Vertrauenslisten	Betreibt sie nicht und prüft sie nicht
PDF-Signatur ist wohlgeformt	Die Signatur-Engine	Das ist das Kästchen von NextPDF
Vertrauenswürdiger Zeitstempel eingebettet	Eine Zeitstempelstelle	Fordert das Token an und bettet es ein
Material für die Langzeitvalidierung	Der Signing/Validation-Ablauf	Kann es einbetten (siehe Verwandte Dokumente)

Wenn eine Zeile oberhalb des Kästchens der Engine nicht erfüllt ist, ist das Ergebnis – bestenfalls – eine gültige fortgeschrittene Signatur, keine qualifizierte. NextPDF kann jede Zeile, für die es verantwortlich ist, korrekt erfüllen und die Signatur trotzdem nicht qualifiziert machen, weil es nicht in der Macht der Engine liegt, diesen Status zu verleihen.

Häufiges Missverständnis

„NextPDF erzeugt qualifizierte Signaturen.“

Das tut es nicht, und die genaue Formulierung ist entscheidend. NextPDF erzeugt strukturell korrekte PDF-Signaturen und ist kompatibel mit dem Signieren auf einer QSCD und dem Einbetten von Zeitstempeln qualifizierter Anbieter. Ob eine bestimmte Signatur qualifiziert ist, ist bereitstellungsabhängig: Es hängt von einem qualifizierten Zertifikat, einer QSCD, einem qualifizierten Vertrauensdiensteanbieter und dem Status auf der Vertrauensliste ab – keinen dieser Bestandteile stellt oder zertifiziert die Engine. Die korrekte Aussage lautet: „NextPDF setzt die Signatur zusammen; der qualifizierte Status ergibt sich aus dem Zertifikat, dem Gerät und dem Anbieter.“ Mehr zu sagen, hieße einen rechtlichen Status zu überdehnen, den Software nicht verleihen kann.

Grenzen und Abgrenzungen

Die Grenze, klar benannt und ohne Beschönigung:

• Was NextPDF ist. Eine PDF-2.0-Signatur-Engine. Sie baut die Signatur gemäß Spec Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 auf, signiert über ein Gerät, wenn ihr eines bereitgestellt wird, und kann einen Zeitstempel sowie Material für die Langzeitvalidierung einbetten.
• Was NextPDF nicht ist. Es ist keine QSCD, kein qualifizierter (oder sonstiger) Vertrauensdiensteanbieter, keine Zertifizierungsstelle und kein Betreiber von Vertrauenslisten. Es bewertet, bestätigt oder verleiht keinen qualifizierten Status.
• Konform zu heißt nicht zertifiziert. Es ist eine strukturelle Aussage, dass NextPDF Signaturen konform zum PDF-Signaturstandard aufbaut und die Elemente tragen kann, die ein AdES-Profil erwartet. Es ist keine Zertifizierung, dass eine resultierende Signatur qualifiziert ist, und kein Ersatz für die Bedingungen aus QSCD, Zertifikat, Anbieter und Vertrauensliste, die sie zusammen dazu machen.
• Der Rechtsraum ist entscheidend. „Qualifiziert“ und seine rechtliche Wirkung werden von der eIDAS-Verordnung in ihrem Geltungsbereich definiert. Diese Seite ist eine technische Erläuterung, keine Rechtsberatung. Die rechtliche Hinlänglichkeit einer Signatur für einen bestimmten Zweck ist eine Frage des einschlägigen Rechts und der Berater der Parteien, nicht der Dokumentation einer Bibliothek.

Qualified-signature support — edition availability

Edition	Availability
Core	○ Core baut den PDF-Signaturträger und den CMS-Container auf. Es trägt für sich genommen nicht zum qualifizierten Status bei.
Pro	○ Pro ergänzt das Signieren mit verwaltetem Schlüssel und die Signaturanreicherung, beschrieben auf der Verhaltensebene. Es ist nach wie vor keine QSCD und kein Vertrauensdiensteanbieter.
Enterprise	○ Enterprise ergänzt das Signieren mit Hardware-Token über PKCS#11, sodass der Signaturschlüssel auf einem Gerät liegen kann, das in der jeweiligen Bereitstellung als QSCD betrieben wird. Die Engine signiert über das Gerät; der qualifizierte Status bleibt der des Zertifikats, des Geräts und des Anbieters — niemals der der Engine.

Mini-FAQ

Ist eine fortgeschrittene Signatur dasselbe wie eine qualifizierte? Nein. Sie können in einem Viewer identisch aussehen. Eine qualifizierte Signatur erfordert zusätzlich ein qualifiziertes Zertifikat, eine QSCD und einen qualifizierten Vertrauensdiensteanbieter; eine fortgeschrittene Signatur nicht. Der Unterschied liegt in der Kette, nicht in den PDF-Bytes.

Macht das Signieren auf einem HSM eine Signatur qualifiziert? Nicht für sich genommen. Eine QSCD ist notwendig, aber nicht hinreichend. Das Zertifikat muss ein qualifiziertes Zertifikat von einem qualifizierten Vertrauensdiensteanbieter sein, und das Gerät muss die QSCD-Kriterien für diese Bereitstellung erfüllen. Ein allgemeines HSM ist nicht automatisch eine QSCD.

Macht das Hinzufügen eines Zeitstempels eine Signatur qualifiziert? Nein. Ein vertrauenswürdiger Zeitstempel stärkt Dauerhaftigkeit und Zeitnachweis; er liefert nicht die Bedingungen aus Zertifikat, Gerät oder Anbieter, die den qualifizierten Status definieren. Er ist für Langzeitprofile notwendig, aber für den qualifizierten Status nicht hinreichend.

Kann mir NextPDF sagen, ob meine Signatur qualifiziert ist? Nein. Die Engine behauptet nichts über den qualifizierten Status. Ihn festzustellen ist eine Frage des Zertifikats, des Geräts, des Anbieters, der Vertrauenslisten und des einschlägigen Rechts — außerhalb der Verantwortung der Engine.

Verwandte Dokumente

• HSM-gestützte Signatur — die Geräteschnittstelle, die eine QSCD-basierte Signatur nutzt, und wo die Schlüsselgrenze liegt.
• Zeitstempel und vertrauenswürdige Zeit — was ein RFC 3161-Zeitstempel belegt und welche Anbieterrolle dahintersteht.
• Langzeitvalidierung — das Validierungsmaterial, das eine Signatur über die Zeit hinweg überprüfbar hält.

Glossar

• Qualifizierte elektronische Signatur — nach der eIDAS-Verordnung eine fortgeschrittene elektronische Signatur, die von einer QSCD erstellt wird und auf einem qualifizierten Zertifikat beruht; ein rechtlicher Status, kein Softwarefunktionsmerkmal.
• eIDAS — EU-Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste; der rechtliche Rahmen, der „qualifiziert“ und seine Wirkung definiert.
• QSCD (qualifizierte Signaturerstellungseinheit) — ein Gerät, das die eIDAS-Kriterien erfüllt; in der Terminologie der ETSI ein sicheres kryptografisches Gerät, das den Schlüssel des Benutzers hält, ihn schützt und im Namen des Benutzers signiert.
• Qualifiziertes Zertifikat — ein Zertifikat, das von einem qualifizierten Vertrauensdiensteanbieter ausgestellt wird und dessen QC-Statements es maschinenlesbar als für elektronische Signaturen qualifiziert kennzeichnen.
• QTSP (qualifizierter Vertrauensdiensteanbieter) — ein beaufsichtigter Vertrauensdiensteanbieter, der qualifizierte Zertifikate und zugehörige qualifizierte Dienste ausstellt.
• Vertrauensliste — veröffentlichter Nachweis, anhand dessen eine vertrauende Partei feststellt, dass ein Anbieter und ein Dienst qualifiziert waren.
• Alleinige Kontrolle — die Pflicht, dass der private Schlüssel einer unterzeichnenden natürlichen Person unter der alleinigen Kontrolle dieses Unterzeichners gehalten wird.
• Zeitstempelstelle (TSA) — eine vertrauenswürdige dritte Partei, die einen Existenznachweis für ein Datenobjekt zu einem Zeitpunkt erbringt (RFC 3161).